Войдите в мой API, используя Azure AD JWT (id_token)

Question

Мое клиентское приложение использует Azure объявление для аутентификации, но для авторизации пользователя (проверьте, разрешено ли пользователю использовать мое приложение) мне нужно go через мой REST API. Можно ли с точки зрения безопасности создать конечную точку в моем REST API, где я могу опубликовать JWT и проверить его, а затем вернуть access_token, который используется для дальнейших вызовов API? Я разработчик как клиентского приложения, так и остальных API, но только клиентское приложение зарегистрировано в Azure AD

Это выглядит нормально? Или есть лучший способ сделать это?

Answer 1

Как я понимаю, REST API - это identity provider (IDP) и authorization provider (поставщик AuthZ) для себя: он аутентифицирует пользователей, выдает токены и хосты API, защищенные этими токенами.

Я бы скажем, что вы хотите потреблять REST API, используя access_tokens, выданный REST API AuthZ provider и AzureAD AuthZ provider. Вы можете сделать это следующим образом:

• зарегистрируйте REST API и MyApplication в AzureAD
• добавьте необходимые области в приложение REST API, зарегистрированное в AzureAD (области должно быть таким же, как в REST API)
• настроить AzureAD промежуточное ПО в MyApplication для запроса id_token и authorization code (читать https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent, особенно часть о offline_access, и этот образец https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/tree/master/2-WebApp-graph-user/2-2-TokenCache и мой упрощенный образец https://github.com/MaximTkachenko/microservices-communication/blob/master/src/Portal/Startup.cs)
• тогда с этим authorization code вы можете получить access_token и refresh_token с AzureAD в момент входа пользователя в систему MyApplication (подробнее о authorization code https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-auth-code-flow)
• настройка двух схем авторизации JWT в REST API для обоих типов токенов (REST API AuthZ provider и AzureAD AuthZ provider, например, Использовать множественную аутентификацию на носителе JWT )
• , наконец, вы сможете использовать REST API с access_tokens, выданным несколько провайдеров AuthZ.

Answer 2

В вашем случае вы можете использовать поток On-Behalf-Of, зарегистрировать клиентское приложение, веб-API среднего уровня и нисходящий веб-API в Azure AD.

Предположим, что пользователь был аутентифицируется в приложении с использованием потока разрешения кода авторизации OAuth 2.0 или другого потока входа в систему. На этом этапе у приложения есть токен доступа для API A (токен A) с заявками пользователя и согласием на доступ к веб-API среднего уровня (API A). Теперь API A необходимо выполнить аутентифицированный запрос к нижестоящему веб-API (API B).

Подробнее см. - Идентификационная платформа Microsoft и OAuth 2.0 On-Se-от-Flow .