應該使用什么類型的第 3 方身份驗證 (OAuth) 來登錄用戶以擁有 API
[英]What type of 3rd party authentication(OAuth) should be used to sign in users to own API
原文
2021-10-04 12:48:27
1
1
azure/
authentication/
oauth-2.0/
microsoft-graph-api/
microsoft-identity-platform
問題描述
我有一個 API,它使用 Microsoft Identity Platform 作為對用戶進行身份驗證的方式。
我需要重構它,因為我認為我在實現中犯了一些錯誤。
因此,重新開始,我想知道如何處理第 3 方驗證器的邏輯是什么。 話雖如此,如果有人可以確認以下身份驗證流程是否有意義,我將不勝感激。
似乎合理的序列是:身份驗證序列
- 客戶端 APP(Web 瀏覽器、移動應用程序)向 microsoft
login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize請求 - 用戶輸入憑據后,Microsoft 使用
?code參數重定向到客戶端應用程序 - 客戶端應用程序將
code和redirect_uri發送到我的 API - 我的 API 通過將
code傳遞給令牌端點login.microsoftonline.com/{tenant}/oauth2/v2.0/token來獲取access_token和refresh_token。 - 我的 API 將令牌存儲在數據庫中。
- 我的 API 生成一個 session hash 將該用戶 ID 映射到那些 access_tokens 和 refresh_tokens
- 我的 API 通過 url 將該 session_hash 重定向到客戶端 APP。
- 客戶端APP使用那個session hash消費我的API。
令牌驗證
在數據庫中存儲令牌時,存儲它們的到期日期。
- 對於對我的 API 所做的每個請求,檢查當前日期是否在到期之前。
- 如果不是,請使用
refresh_token刷新令牌並將舊令牌替換為新令牌。 - 如果無法刷新令牌,則發送 401 錯誤並在客戶端 APP 上觸發新的 OAuth 身份驗證。 再次運行“身份驗證序列”。
- 允許請求繼續。
對不同客戶端平台的擔憂。
Microsoft 為不同的客戶端提供身份驗證庫 (MSAL)。 但是這些庫,據我了解,是對用戶進行身份驗證,將令牌存儲在本地,並使用 Microsft Graph API。這讓我質疑我的流程的可靠性,因為我制作它的方式不兼容有了這些庫。
1 個解決方案
解決方案1
1 已采納 2021-10-04 13:28:20
我相信您不需要做所有這些並且可以使事情變得非常簡單。
您可以執行以下操作:
- 您可以從客戶端應用程序對用戶進行身份驗證,一旦用戶通過身份驗證,您就可以為您的 API 獲取令牌。您可以為此使用 MSAL。 MSAL 將負責緩存令牌(包括訪問令牌和刷新令牌),並在需要時更新它們。
- 當您的客戶端應用程序發出 API 調用時,您只需靜默地從 MSAL 請求令牌。 如果令牌獲取因任何原因失敗,MSAL 將引發錯誤,您將相應地在客戶端應用程序中處理該錯誤(例如,您可以重定向用戶以再次登錄)。
- 一旦您的 API 收到訪問令牌,您就可以對其進行驗證。 前段時間我問了一個關於您可以在這里閱讀的相同內容的問題 - Azure AD - 為什么我不能為我的 Web API 驗證 Azure AD 頒發的 JWT 令牌? 收到“IDX10516:簽名驗證失敗”錯誤。
- 如果您的 API 需要代表登錄用戶訪問受保護的資源(例如 OneDrive),您可以使用隨請求一起發送的令牌在您的 API 中獲取該令牌。 例如,看看下面的代碼片段。 它獲得 Azure 資源管理器 API 的令牌。
假設您使用的是 .Net 5/Core,您需要先在 Startup.cs 中添加以下行:
services
.AddMicrosoftIdentityWebApiAuthentication(Configuration, "ApiSettingsConfigurationSectionName")
.EnableTokenAcquisitionToCallDownstreamApi()//This does the magic of getting the token for protected resources.
.AddInMemoryTokenCaches();
那么這就是您如何在 API 控制器中獲取受保護資源的令牌:
private readonly ITokenAcquisition _tokenAcquisition;
...
...
...
public YourController(ITokenAcquisition tokenAcquisition,
...other injected parameters
)
{
_tokenAcquisition = tokenAcquisition;
...
}
/// <summary>
/// Gets the access token on behalf of signed-in user to perform Azure
/// Resource Manager (ARM) API.
/// </summary>
/// <returns>
/// Access token.
/// </returns>
private async Task<string> GetAccessTokenForAzureSubscriptionManagementApiRequest()
{
string accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(['scopes for the protected API e.g. https://management.azure.com/user_impersonation']);
return accessToken;
}
Microsoft 為不同的客戶端提供身份驗證庫 (MSAL)。 但是這些庫,據我了解,是對用戶進行身份驗證,將令牌存儲在本地,並使用 Microsft Graph API。
這不完全正確。 MSAL 可用於獲取受 Azure AD 保護的任何 API 的令牌。 圖 API 當然是其中之一,但您也可以對自己的 API 使用 MSAL,前提是它受到 Azure AD 的保護。
使用來自第 3 方 API 的 python 將多個文檔寫入 Firestore
[英]Write Multiple Documents to Firestore using python from 3rd party API
通過雲 function 在 firebase 中使用 AXIOS POST 調用第三方 api
[英]Calling a 3rd party api through a cloud function in firebase with AXIOS POST
從第 3 方 API 收集數據時如何更新 Firestore 文檔而不是創建新文檔
[英]How to update Firestore document when data changes when collected from 3rd Party API instead of creating new document
通過第三方 webhook 觸發 AWS lambda function,轉換事件請求正文並將轉換后的正文發布到我的 API
[英]Trigger an AWS lambda function by a 3rd party webhook, transform the event request body and POST the transformed body to my API
如何在重定向到第 3 方雲頁面的 AWS Route 53 中添加記錄?
[英]How to add record in AWS Route 53 that redirects to 3rd party cloud page?
如何導入第 3 方 python 庫以用於膠水 python shell 腳本
[英]How to import 3rd party python libraries for use with glue python shell script
我可以在雲 function 中使用第 3 方 React Native 庫嗎?
[英]Can I use a 3rd party React Native library within a cloud function?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Javascript - 第 3 方 API 調用僅在某些情況下失敗
使用來自第 3 方 API 的 python 將多個文檔寫入 Firestore
通過雲 function 在 firebase 中使用 AXIOS POST 調用第三方 api
從第 3 方 API 收集數據時如何更新 Firestore 文檔而不是創建新文檔
通過第三方 webhook 觸發 AWS lambda function,轉換事件請求正文並將轉換后的正文發布到我的 API
使用 3rd 方 VPN 連接到私有 GKE 集群
將文件從 GCP 存儲桶發送到第三方 pdf 轉換器
如何在重定向到第 3 方雲頁面的 AWS Route 53 中添加記錄?
如何導入第 3 方 python 庫以用於膠水 python shell 腳本
我可以在雲 function 中使用第 3 方 React Native 庫嗎?
相關標簽