我之前没有接触过 AAD,但我必须使用它来对我的 REST 服务的用户进行身份验证。
我有一个移动客户端,可以使用 OAuth2 对 AAD 上的用户进行身份验证。因此它有一个不记名 token 。
此不记名 token 移动客户端应用作 protected REST 服务请求中的参数。
REST 服务是一个基于 Java 的应用程序 (spring-boot),它在 AAD 中注册为 Web 应用程序,但我找不到它如何连接到 AAD 以检查 token 是否有效的方法。
我期望有像 /oauth2/check_token 端点这样的东西,它可以获取 token 值并返回用户数据,但我没有找到任何东西。
是否可以使用 AAD 对第三方应用程序的用户进行身份验证?如果可以,如何操作?
最佳答案
AAD 发行的 token 是经过签名的 JWT token 。您不需要与 AAD 通信来验证 token 是否有效。如果您信任颁发者 (AAD) 并且 token 有效(正确的受众、有效签名、未过期等),则您接受 token 中的声明。
参见this article了解验证 JWT token 的步骤。
关于rest - 如何使用Azure AD对第三方应用程序的用户进行身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32638534/