如何使用 Azure AD B2C 保护 Spring Boot REST API 的安全？

2023-12-02

我正在使用 Spring Boot 2.2.0azure-active-directory-b2c-spring-boot-starter2.2.0。我设法用它来保护 Thymeleaf 网页（按照他们的教程）。现在，我想要一个以相同方式保护的 REST API，因为实际应用程序将是一个对我的 Spring Boot 后端进行 REST 调用的移动应用程序。

我已经弄清楚如何使用密码授予流程获取令牌：

POST https://<my-tenant-id>.b2clogin.com/<my-tenant-id.onmicrosoft.com/oauth2/v2.0/token?p=B2C_1_<my-custom-policy>

（以用户名和密码作为参数）

因此移动应用程序可以使用该调用。但是我应该如何配置我的 Spring Boot 应用程序以便使用Authorization: Bearer <access-token>API 调用有效吗？我需要哪些依赖项/启动器以及应该如何配置？

UPDATE:

我尝试添加：

<dependency>
  <groupId>org.springframework.security.oauth</groupId>
  <artifactId>spring-security-oauth2</artifactId>
  <version>2.3.7.RELEASE</version>
</dependency>

With:

@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class OAuth2ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId("my-azure-b2c-test");
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/api/**")
            .authenticated();
    }
}

但是，当我在 Spring Boot 应用程序上发出请求时，收到带有“invalid_token”错误的 401。

一旦你知道了，解决方案似乎很简单。

首先，添加以下依赖项：

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-oauth2-resource-server</artifactId>
            <version>5.2.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-oauth2-jose</artifactId>
            <version>5.2.0.RELEASE</version>
        </dependency>

接下来指定spring.security.oauth2.resourceserver.jwt.jwk-set-uri您的财产application.properties file.

要知道这个值，请执行GET（使用 cURL 或其他工具）https://<my-tenant-id>.b2clogin.com/<my-tenant-id>.onmicrosoft.com/v2.0/.well-known/openid-configuration?p=B2C_1_<my-custom-policy>

这将返回一个 JSON 正文jwks_uri价值。获取该值并将其放入您的application.properties file.

现在在项目中创建这个 Java 类：

import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configurers.oauth2.server.resource.OAuth2ResourceServerConfigurer;

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/api/**")
            .authenticated()
            .and()
            .oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt);
    }
}

如果你现在有这样的控制器：

@RestController
public class ApiController {

    @GetMapping("/api/test")
    public String apiTest(@AuthenticationPrincipal Principal principal) {
        return "test " + principal;
    }
}

如果您执行 GET 操作，您将看到主体不为空api/test与一个正确的Authorization标头（它的类型是org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationToken)

唯一遗憾的是校长没有权力，我还需要弄清楚为什么。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

如何使用 Azure AD B2C 保护 Spring Boot REST API 的安全？的相关文章

JAVA - Xuggler - 组合 MP3 音频文件和 MP4 电影时播放视频

使用 JAVA 和 Xuggler 以下代码组合 MP3 音频文件和 MP4 电影文件并输出组合的 mp4 文件我希望在合并音频和视频文件时应自动播放输出视频文件 String inputVideoFilePath in mp4 Stri
有什么方法可以为 Azure AD B2C 自定义策略中的输入提供默认值吗？

我正在致力于将 Azure AD B2C 集成到现有的购物车应用程序中以替换现有的用户身份解决方案我已经创建了一个自定义策略来实现用户注册注册并将其集成到正常的帐户创建过程中但是我在结帐过程中集成注册时遇到问题对于旧的 IDP
如何安全地解决这个 Java 上下文类加载器问题？

我的数百名用户中只有一位在启动我的 Java 桌面应用程序时遇到问题他只有大约三分之一的时间开始另外三分之二的时间在启动时抛出 NullPointerException Exception in thread AWT EventQueu
Hibernate.createBlob() 方法从 Hibernate 4.0.1 开始已弃用，并移至 Hibernate.getLobCreator(Session session).createBlob()

Method Hibernate createBlob 已弃用自休眠4 0 1并搬到Hibernate getLobCreator Session session createBlob 任何解决方案我应该在方法内传递什么getLobCrea
具有 java XSLT 扩展的数组

我正在尝试使用 java 在 XSLT 扩展中使用数组我收到以下错误 Caused by java lang ClassCastException org apache xpath objects XObject cannot be ca
将 SignedHash 插入 PDF 中以进行外部签名过程 -workingSample

遵循电子书第 4 3 3 节 PDF 文档的数字签名 https jira nuxeo com secure attachment 49931 digitalsignatures20130304 pdf 我正在尝试创建一个工作示例其中客
使用 SQLITE 按最近的纬度和经度坐标排序

我必须获得一个 SQLite SQL 语句以便在给定初始位置的情况下按最近的纬度和经度坐标进行排序这是我在 sqlite 数据库中的表的例句 SELECT id name lat lng FROM items EXAMPLE RESUL
以编程方式在java的resources/source文件夹中创建文件？

我有两个资源文件夹 src 这是我的 java 文件资源这是我的资源文件图像 properties 组织在文件夹包中有没有办法以编程方式在该资源文件夹中添加另一个 properties 文件我尝试过这样的事情 public s
如何在selenium服务器上提供自定义功能？

我知道可以通过某种方法获得一些硒功能其中之一如下 driver getCapabilities getBrowserName 它返回浏览器名称的值但如果它指的是一个可用的方法如果我没有误解的话这似乎与自定义功能有关就像我的意思是
Javafx过滤表视图

我正在尝试使用文本字段来过滤表视图我想要一个文本字段 txtSearch 来搜索 nhs 号码名字姓氏和分类类别我尝试过在线实施各种解决方案但没有运气我对这一切仍然很陌生所以如果问得不好我深表歉意任何帮助将不胜感激我
IntelliJ - 调试模式 - 在程序内存中搜索文本

我正在与无证的第三方库合作我知道有一定的String存储在库深处的某个字段中的某处我可以预测的动态值但我想从库的 API 中获取它有没有一种方法可以通过以下方式进行搜索类似于全文搜索 full程序内存处于调试模式并在某个断点处停止
欧洲中部时间 14 日 3 月 30 日星期五 00:00:00 至日/月/年

我尝试解析格式日期Fri Mar 30 00 00 00 CET 14至日月年这是我的代码 SimpleDateFormat formatter new SimpleDateFormat dd MM yyyy System out
考虑在配置中定义“org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder”类型的 bean

我正在尝试将 jwt 令牌连接到我的项目但在工作过程中遇到了一些问题我已按照上述说明进行操作here https auth0 com blog implementing jwt authentication on spring boot
在 Spring 中重构这个的最佳方法？

private final ExecutorService executorParsers Executors newFixedThreadPool 10 public void parse List
Cucumber Java 与 Spring Boot 集成 - Spring @Autowired 抛出 NullPointer 异常

我正在为 Spring boot 应用程序编写 cucumber java 单元测试来测试每个功能当我与 Spring Boot 集成时 Autowired 类抛出 NullPointer 异常 Spring Boot应用程序类 Spri
替换后增量

我自己已经有一个问题了但我想扩展它后增量示例 https stackoverflow com questions 51308967 post increment with example char a D int b 5 System o
Eclipse 中 Spring MVC 模型对象的 (jsp /jstl) 视图中的代码辅助

在 Spring MVC 中当将对象放置在视图模型中时如下所示 public String getUser Model model fetch user model addAttribute user user return viewN
为什么C++代码执行速度比java慢？

我最近用 Java 编写了一个计算密集型算法然后将其翻译为 C 令我惊讶的是 C 的执行速度要慢得多我现在已经编写了一个更短的 Java 测试程序和一个相应的 C 程序见下文我的原始代码具有大量数组访问功能测试代码也是如此 C 的
为什么这个作业不起作用？

我有课Results which extends ArrayList
FileOutputStream.close() 中的设备 ioctl 不合适

我有一些代码可以使用以下命令将一些首选项保存到文件中FileOutputStream 这是我已经写了一千遍的标准代码 FileOutputStream out new FileOutputStream file try BufferedOu

随机推荐

如何在 SQL Server 中使用带框架的窗口函数执行 COUNT(DISTINCT)

搭载这个可爱的问题可以使用 DISTINCT 进行分区函数 COUNT OVER 我希望计算不同值的移动计数大致如下 Count distinct machine id over partition by model order by
C++11 之前的初始值设定项列表中同一变量的多个突变是否为未定义行为

考虑以下代码 int main int count 0 int arrInt 2 count count return 0 如果我们使用以下命令编译代码clang std c 03它会产生以下警告活生生的例子 warning multip
redbean - 嵌套豆 - 出了什么问题？

我正在尝试建立一个简单的嵌套 bean 关系我错过了什么我真的很喜欢 redbean 简单的 ORM 语法并且真的很想使用它但我似乎无法让它为我工作还有其他类似的东西可能更成熟吗我想要一些轻量且简单的东西来构建 WordPres
setCloseButtonIcon(Bitmap drawable) 不适用于 ChromeCustomTab 中的 SVG

我需要更改 ChromeCustomTab Android 中的默认十字图标我使用以下代码通过后退图标更改它 Bitmap icon BitmapFactory decodeResource context getResources R
无法使用 spring 连接到 Azure SQL 数据库服务器

我能够连接到具有 IP 地址的数据库但是如果我在 Azure SQL 数据库服务器中创建了我的数据库因为我无法使用 spring 配置 Java Web 应用程序进行连接它显示错误说与主机 vinayaka cloudapp ne
Shell 脚本中的字符串连接错误

我是 Shell 脚本编写的初学者我使用了一个变量来存储值A MyScript 我尝试在后续步骤中连接字符串 A new 令我惊讶的是它不起作用并且 A new worked 您能帮我理解这些细节吗 Thanks Shell 变量名由字母
显示来自 BroadcastReceiver 的复杂 Toast

我想知道是否有人可以帮助我我试图在收到短信时显示 toast 元素这个 toast 应该包含一个布局其中有一个图像短信图标和 2 个文本视图发件人消息如果我从活动中调用以下方法它将按预期工作 public void sho
为什么 item.getMenuInfo() 为空？

在我的 ListView 项目中我有 4 8 个 ImageView 其中一些是不可见的具体取决于某些值和 4 个 TextView 当我长按 Listview 的项目时 AdapterContextMenuInfo item get
如何判断 DOM 元素在当前视口中是否可见？

有没有一种有效的方法来判断 DOM 元素在 HTML 文档中当前是否可见出现在viewport 问题涉及 Firefox Now 大多数浏览器支持获取边界客户端矩形方法这已成为最佳实践使用旧答案非常慢不准确 and 有几个错误
不支持的操作：不可写 python

电子邮件验证 Email validator import re def is email email input Enter your email pattern w 1 w w file open ValidEmails txt r i
如何为 Eclipse 编写插件？ [关闭]

Closed 这个问题需要多问focused 目前不接受答案我如何开始编写插件Eclipse 我找过文档但不幸的是很少或者很差那么有哪些文章可以推荐呢 Eclipse 和 IBM 的主站点上有一些非常好的资源和教程最好的方法之一是选
mysql_insert_id线程安全吗？

我正在使用 MySQL C API 构建数据库客户端应用程序并且我需要获取 INSERT 语句中的最后一个自动增量值因此 mysql insert id 可以做到但是这个客户端是多线程的并且是这样的一段代码 mysql query
如何在Python中使列表只包含不同的元素？ [复制]

这个问题在这里已经有答案了我有一个 Python 列表如何使其值唯一最简单的方法是转换为集合然后再转换回列表 my list list set my list 这样做的一个缺点是它不会保留订单您可能还想首先考虑使用集合而不是列表
保护正在访问的用户文件，以便只有所有者才能访问？

我正在用 php 编写一个 Web 应用程序用户可以在其中上传自己的文件或图像但如何保护这些文件不被所有者以外的其他人访问想想 dropbox 保护这些文件的机制是什么我尝试过搜索但没有得到任何关于此的信息任何指向教程的指针或链
使用进程名称获取另一个程序的窗口标题

这个问题可能很基本但我很难破解它我假设我必须使用一些东西ctypes windll user32 请记住我几乎没有使用这些库的经验甚至没有ctypes作为一个整体我已经使用此代码列出了所有窗口标题但我不知道应该如何更改此代码以获
使用html5（提醒应用程序）访问电话闹钟（原生资源）

这些是我的技术 HTML5 Jquery 移动 Jquery Javascript Css Cordova 我们正在使用 HTML 5 开发应用程序我们需要访问手机 Android iPhone Windows Phone 资源例如闹钟
Swift 中的重命名问题

我是第一次使用 Swift 进行编程在此过程中我遵循this教程不幸的是该教程看起来有点过时并且大多数代码都会引发构建时错误最常出现的错误是NSURLSession has been renamed to URLSession 我
如何使用 python 以“更智能”的方式下载文件？

我需要在Python中通过http下载几个文件最明显的方法就是使用 urllib2 import urllib2 u urllib2 urlopen http server com file html localFile open fil
使用 SICStus Prolog 推广斐波那契数列

我正在尝试寻找广义斐波那契序列 GFS 查询的解决方案问题是是否有第 12 个数字为 885 的 GFS 最初的 2 个数字可能限制在 1 到 10 之间我已经找到了在从 1 1 开始的序列中查找第 N 个数字的解决方案其中我明确定
如何使用 Azure AD B2C 保护 Spring Boot REST API 的安全？

我正在使用 Spring Boot 2 2 0azure active directory b2c spring boot starter2 2 0 我设法用它来保护 Thymeleaf 网页按照他们的教程现在我想要一个以相同方式保护

如何使用 Azure AD B2C 保护 Spring Boot REST API 的安全？

如何使用 Azure AD B2C 保护 Spring Boot REST API 的安全？ 的相关文章

随机推荐

热门标签

如何使用 Azure AD B2C 保护 Spring Boot REST API 的安全？的相关文章