Как выдать токены из Azure AD в приложении / API Node.js?
Я создаю приложение для узла с экспресс-бэкэндом. Одним из требований является использование Azure AD для проверки подлинности. Я установил passport-azure-ad модуль и настроили его следующим образом:
import * as passportAD from "passport-azure-ad";
// ... <snip> ....
const tenantName = "<MY_TENANT_NAME>"";
const clientID = "<MY_CLIENT_ID>";
app.use(passport.initialize());
app.use(passport.session());
const bearerStrategy = new passportAD.BearerStrategy(
{
identityMetadata: `https://login.microsoftonline.com/${tenantName}.onmicrosoft.com/.well-known/openid-configuration`,
clientID
},
(token: any, done: any) => {
console.log(token);
return done(null, {}, token);
}
);
passport.use(bearerStrategy);
Затем я добавил авторизацию к маршруту, как это:
const myHandler = () => (req, res) => return res.json({});
app.get('/my/route',
passport.authenticate("oauth-bearer", { session: false }),
myHandler()
);
Это возвращает статус 401, как и ожидалось, однако я не смог найти документацию о том, как выдать токен клиенту из Azure AD. Я хочу принять POST для конечной точки входа в систему с именем пользователя и паролем в теле и вернуть токен Azure AD. Это возможно?
2 ответа
Единственным эмитентом токена Azure AD является Azure AD. Вы не должны собирать имя пользователя / пароль в своих клиентах, и вы не должны принимать их в свой сервис.
Ваши клиентские приложения просто должны использовать MSAL (или ADAL, или любую клиентскую библиотеку OpenID Connect), чтобы отправить пользователя в Azure AD, заставить его войти в систему и в ответ получить маркер доступа для вашего API.
Например, если ваш клиент был одностраничным приложением JavaScript, с MSAL для JavaScript вы могли бы сделать следующее:
var userAgentApplication = new Msal.UserAgentApplication(
'0813e1d1-ad72-46a9-8665-399bba48c201', // AppId of you client app
null, function (errorDes, token, error, tokenType, instance) {
// This callback only used loginRedirect OR acquireTokenRedirect.
}
);
var scopes = ["https://api.example.com/permission.scope"];
userAgentApplication.loginPopup(scopes).then(function (token) {
// Get the signed-in user
var user = userAgentApplication.getUser();
// Get an access token for the signed-in user
userAgentApplication.acquireTokenSilent(scopes).then(function (token) {
// Use the access token to call your API
$.ajax({
url: 'https://api.example.com/foo',
type: 'GET',
dataType: 'json',
headers: { 'Authorization': 'Bearer ' + token },
contentType: 'application/json; charset=utf-8',
success: function (result) {
// TODO: Do something cool with the API response.
},
error: function (error) {
// TODO: Do something smart if there's an error
}
});
}, function (error) {
// TODO: Silent token acquisition failed, retry with acquireTokenPopup()
});
}, function (error) {
// TODO: Deal with error.
});
(Конечно, вы можете сделать это для различных других платформ.)
Вы также можете сделать следующее. Я недавно реализовал один с моим приложением реакции с бэкендом nodejs
Вы можете найти ключевые значения для BearerStrategyOptions на https://github.com/AzureADQuickStarts/AppModelv2-WebAPI-nodejs/blob/master/node-server/config.js
Разрешите FYI Я использовал следующую общую конечную точку https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration для identityMetadata
const BearerStrategyOptions = {
identityMetadata,
clientID,
validateIssuer,
issuer,
passReqToCallback,
allowMultiAudiencesInToken,
audience
};
Вы можете найти ключевые значения для OIDCStrategyOptions на https://github.com/AzureADQuickStarts/AppModelv2-WebApp-OpenIDConnect-nodejs/blob/master/config.js
const OIDCStrategyOptions = {
identityMetadata,
clientID,
responseType,
responseMode,
redirectUrl,
allowHttpForRedirectUrl,
clientSecret,
validateIssuer,
isB2C,
issuer,
passReqToCallback,
scope,
nonceLifetime,
nonceMaxAmount,
useCookieInsteadOfSession,
cookieEncryptionKeys,
clockSkew
};
Для аутентификации:
passport.use(
new OIDCStrategy(OIDCStrategyOptions, function(
iss,
sub,
profile,
accessToken,
refreshToken,
done
) {
if (!profile.oid) {
return done(new Error("No oid found"), null);
}
// asynchronous verification, for effect...
process.nextTick(function() {
findByOid(profile.oid, function(err, user) {
if (err) {
return done(err);
}
if (!user) {
// "Auto-registration"
users.push(profile);
// console.log("---------profile----------", profile)
return done(null, profile);
}
// console.log("-----------user---------", user)
return done(null, user);
});
});
})
);
Для авторизации:
passport.use(
new BearerStrategy(BearerStrategyOptions, function(token, done) {
console.log("verifying the user");
console.log(token, "was the token retreived");
findByOid(token.oid, function(err, user) {
if (err) {
return done(err);
}
if (!user) {
// "Auto-registration"
console.log(
"User was added automatically as they were new. Their oid is: ",
token.oid
);
users.push(token);
owner = token.oid;
return done(null, token);
}
owner = token.oid;
return done(null, user, token);
});
})
);
И для авторизации маршрутов используйте следующий код в вашем api
passport.authenticate('oauth-bearer', {session: false})
Готово! Надеюсь, это поможет:) для тех, кто хочет использоватьpassport-azure-ad
К passport-azure-ad Модуль, о том, как лазурное объявление выдает токен, вы можете сослаться на doc1 и doc2.
Я хочу принять POST для конечной точки входа в систему с именем пользователя и паролем в теле и вернуть токен Azure AD. Это возможно?
Да, это возможно. Если вы хотите сделать это, вы можете обратиться сюда.