Microsoft ID プラットフォ`ム | 幄塀氏芙醍狭圻幹 Thu, 04 Jul 2024 12:45:36 +0000 ja hourly 1 https://wordpress.org/?v=6.9.4 Microsoft ID プラットフォ`ムのアクセスト`クンが ̄Invalid Signature ̄になる周 その2Spring Security /blog/20240306-2276/ Wed, 06 Mar 2024 06:41:18 +0000 /?post_type=blog&p=2276 峻さん、こんにちは。室宝蝕kグル`プの稼-看噛温敬温稼です。書定は避定だったんですね。避定の訳周は富し鹸jで、4で護り俳れる定は避定、擇靴し100で護り俳れる定は峠定、曚燭世400で護り俳れる定は避定、になります。 […]

The post Microsoft ID プラットフォ`ムのアクセスト`クンが ̄Invalid Signature ̄になる周 その2Spring Security first appeared on 幄塀氏芙醍狭圻幹.

]]> 峻さん、こんにちは。室宝蝕kグル`プの稼-看噛温敬温稼です。
書定は避定だったんですね。避定の訳周は富し鹸jで、4で護り俳れる定は避定、擇靴し100で護り俳れる定は峠定、曚燭世400で護り俳れる定は避定、になります。

云籾です。
念指、Microsoft ID プラットフォ`ムからk佩されたアクセスト`クンをGraph API參翌のリソ`スサ`バ`で旋喘しようとすると、 ̄Invalid Signature ̄として屎しくI尖してくれない}を函り貧げました。書指は、この}にするI圭隈をSpring Securityで盾Qしたいと房います。 ̄Invalid Signature ̄にvする圻咀や尖喇などについては、念指を歌孚してください。

Graph API參翌のアクセスト`クンをk佩する圭隈

ゴ`ル

盾Qの圭は念指と揖じです。1指朕のシ`ケンスでは、OIDCJ^Graph API喘のアクセスト`クンをk佩してBいます。2指朕のシ`ケンスでは、OAuth2.0により徭念で喘吭したリソ`スサ`バ`へのアクセスト`クンをk佩してBいます。

或鴛禽遺範^に駅勣な秤烏を譜協する

或鴛禽遺範^で駅勣となる秤烏をapplication.propertiesに協吶します。

# 1指朕のシ`ケンスOIDCJ^Graph API喘アクセスト`クンk佩
spring.security.oauth2.client.registration.microsoftonline.client-name=microsoftonline
spring.security.oauth2.client.registration.microsoftonline.client-id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
spring.security.oauth2.client.registration.microsoftonline.client-secret=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
spring.security.oauth2.client.registration.microsoftonline.provider=microsoftonline
spring.security.oauth2.client.registration.microsoftonline.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.microsoftonline.redirect-uri={baseUrl}/login/oauth2/code/{registrationId}
spring.security.oauth2.client.provider.microsoftonline.issuer-uri: https://login.microsoftonline.com/{tenantId}/v2.0
spring.security.oauth2.client.provider.microsoftonline.authorization-uri=https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize
spring.security.oauth2.client.provider.microsoftonline.token-uri=https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token
spring.security.oauth2.client.provider.microsoftonline.user-info-uri=https://graph.microsoft.com/oidc/userinfo
spring.security.oauth2.client.provider.microsoftonline.user-name-attribute=name

# 2指朕のシ`ケンスOAuth2.0によるアクセスト`クンk佩
spring.security.oauth2.client.registration.microsoftonline4rsc.client-name=microsoftonline4rsc
spring.security.oauth2.client.registration.microsoftonline4rsc.client-id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
spring.security.oauth2.client.registration.microsoftonline4rsc.client-secret=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
spring.security.oauth2.client.registration.microsoftonline4rsc.provider=microsoftonline4rsc
spring.security.oauth2.client.registration.microsoftonline4rsc.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.microsoftonline4rsc.redirect-uri={baseUrl}/authorized/{registrationId}
spring.security.oauth2.client.registration.microsoftonline4rsc.scope=offline_access,yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy/.default
spring.security.oauth2.client.provider.microsoftonline4rsc.issuer-uri: https://login.microsoftonline.com/{tenantId}/v2.0
spring.security.oauth2.client.provider.microsoftonline4rsc.authorization-uri=https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize
spring.security.oauth2.client.provider.microsoftonline4rsc.token-uri=https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token

1指朕のシ`ケンスと、2指朕のシ`ケンスに駅勣な秤鵑鬚修譴召豢xしています。O協坪否にvしては、Express + Passport」念?指念指と揖じなのでh苧を福待します。

協吶する縞のポイントとしては、プロパティ兆の{registrationId}何蛍を癖卷筝することです。箭えば1指朕シ`ケンスの遺鉛庄艶稼岳鴛禽では、プロパティ兆がspring.security.oauth2.client.registration.microsoftonline.client-idとなっています。して、2指朕シ`ケンスの遺鉛庄艶稼岳鴛禽では、プロパティ兆がspring.security.oauth2.client.registration.microsoftonline4rsc.client-idです。この橿忖になっている倖侭により、それぞれを蛍けて協吶しています。

皆艶界顎姻庄岳霞酷庄鉛岳艶姻遺鞄温庄稼を伏撹する

參和は、1指朕のシ`ケンスと、2指朕のシ`ケンスのI圭を佩う皆艶界顎姻庄岳霞酷庄鉛岳艶姻遺鞄温庄稼を伏撹するコ`ドです。

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
  // 1指朕のシ`ケンスOIDCJ^Graph API喘アクセスト`クンk佩
  http
    .authorizeHttpRequests(authorize -> authorize.anyRequest().authenticated())
    .oauth2Login(oauth2 ->
      oauth2
        .loginPage(
          OAuth2AuthorizationRequestRedirectFilter.DEFAULT_AUTHORIZATION_REQUEST_BASE_URI + "/microsoftonline"
        )
    );

  // 2指朕のシ`ケンスOAuth2.0によるアクセスト`クンk佩
  http
    .oauth2Client(Customizer.withDefaults())
    .addFilterAfter(
      this.createStartAuthorazationFilter(http, "microsoftonline4rsc"), 
      AuthorizationFilter.class
    );

  return http.build();
}

1指朕のシ`ケンスではoauth2.loginPage()にて、ログインに聞喘する譜協を峺協しています。枠ほど、application.propertiesに或鴛禽遺範^および或粥顎岳鞄2.0で駅勣となる譜協として、microsoftonlinemicrosoftonline4rscの2つを協吶しました。もし、oauth2.loginPage()を福待すると、皆沿姻庄稼乙皆艶界顎姻庄岳霞はどちらの譜協で範^すれば措いのか登僅が竃栖ないため、參和の鮫中を燕幣してユ`ザ`に僉kさせる強恬となります。書指はmicrosoftonlineで或鴛禽遺範^したいので、oauth2.loginPage()で峺協しています。

2指朕のシ`ケンスではhttp.oauth2Client()で或粥顎岳鞄2.0を佩うように峺協しています。http.oauth2Client()http.oauth2Login()と揖に、/oauth2/authorization/{registrationId}へのリダイレクトをトリガ`にシ`ケンスが蝕兵されます。http.oauth2Login()の袁犬紛恬については、參念墮した仝Spring Security の児云とOIDCJ^rの嘛々を歌孚ください。

2指朕シ`ケンスのregistrationIdmicrosoftonline4rscですので、2指朕のシ`ケンスを蝕兵するには、/oauth2/authorization/microsoftonline4rscへリダイレクトする駅勣があります。このリダイレクトするI尖は徭念でg廾する駅勣があります。http.addFilterAfter()にて、/oauth2/authorization/microsoftonline4rscへリダイレクトするフィルタを、AuthorizationFilterの朔ろに弖紗しています。

2指朕のシ`ケンスを蝕兵するフィルタ

2指朕のシ`ケンスを蝕兵するためのフィルタをg廾します。

private Filter createStartAuthorazationFilter(HttpSecurity http, String registrationId) {
  return new OncePerRequestFilter() {
    @Override
    protected void doFilterInternal(
      HttpServletRequest request,
      HttpServletResponse response,
      FilterChain filterChain
    ) throws ServletException, IOException {
      Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

      // J^が頼阻したのか倦か
      // J^が隆頼阻の栽、`authentication`のクラスは `AnonymousAuthenticationToken` となります。
      // J^が頼阻した栽は、`OAuth2AuthenticationToken`になります。
      // クラスの`いでJ^が頼阻したのか倦かを登僅しています。
      if (authentication instanceof OAuth2AuthenticationToken) {

        // J辛gみのクライアントを函誼します。
        // もし、函誼できない栽(authorizedClient == null)、まだアクセスト`クンが函誼竃栖ていません。
        OAuth2AuthorizedClient authorizedClient = clientService.loadAuthorizedClient(
          registrationId,
          authentication.getName()
        );

        if (authorizedClient == null) {
          // `/oauth2/authorization/{registrationId}`へリダイレクトして、J辛プロセスが畠て頼阻した瘁、
          // 圷のペ`ジ╂`/secure/user`のパスにリダイレクトしてもらう駅勣があります。
          // 參和のコ`ドにより、Spring Securityにして、圷のペ`ジへのリクエスト秤鵑魃3屬靴討くことが竃栖ます。
          RequestCache requestCache = http.getSharedObject(RequestCache.class);
          requestCache.saveRequest(request, response);

          // リダイレクト
          AuthenticationEntryPoint entryPoint = new LoginUrlAuthenticationEntryPoint(
            OAuth2AuthorizationRequestRedirectFilter.DEFAULT_AUTHORIZATION_REQUEST_BASE_URI + "/" + registrationId
          );
          entryPoint.commence(request, response, null);
        } else {
          filterChain.doFilter(request, response);
        }
      } else {
        filterChain.doFilter(request, response);
      }
    }
  };
}

フィルタでは、範^gみ、かつ、徭念で喘吭したリソ`スサ`バ`へのアクセスト`クンが隆k佩の魁栽、/oauth2/authorization/microsoftonline4rscへリダイレクトさせています。リダイレクトする縞は、リクエスト坪否を匯扮隠贋してから、リダイレクトするようにしています。

アクセスト`クンを函誼する圭隈

アクセスト`クンを函誼するコ`ドです。

@Service
public class OAuth2TokenService {

  @Autowired
  private OAuth2AuthorizedClientService clientService;

  public OAuth2AccessToken getAccessToken() {
    return getAccessToken(null);
  }

  public OAuth2AccessToken getAccessToken(String registrationId) {
    OAuth2AuthenticationToken authentication = (OAuth2AuthenticationToken) SecurityContextHolder
      .getContext()
      .getAuthentication();

    OAuth2AuthorizedClient authorizedClient = clientService.loadAuthorizedClient(
      registrationId == null ? authentication.getAuthorizedClientRegistrationId() : registrationId,
      authentication.getName()
    );

    return authorizedClient.getAccessToken();
  }
}

clientService.loadAuthorizedClient(...)の及1哈方にregistrationIdを峺協することで、そのregistrationIdに鬉靴織▲セスト`クンを函誼することが竃栖ます。なお、authentication.getAuthorizedClientRegistrationId()は範^で聞喘されたregistrationIdを卦抜します。書指の箭で冱うとmicrosoftonlineになります。

おわりに

1指朕のシ`ケンスから、2指朕のシ`ケンスを_兵させる圭隈がつからず、寄蛍、逗蕕靴泙靴拭Spring Security箸任Δ泙い海箸笋辰討れないか{べたのですが、いい圭隈がつからず、Y蕉はフィルタを弖紗する圭隈で鯛ち彭きました。ゴ`ルにdしたようなシ`ケンス蹐ないと、Spring Securityのコ`ドをiみ盾くのはyしいですね。

ではまた。

The post Microsoft ID プラットフォ`ムのアクセスト`クンが ̄Invalid Signature ̄になる周 その2Spring Security first appeared on 幄塀氏芙醍狭圻幹.

]]> Microsoft ID プラットフォ`ムのアクセスト`クンが”Invalid Signature”になる周 その1Express + Passport /blog/20240228-2253/ Wed, 28 Feb 2024 02:27:58 +0000 /?post_type=blog&p=2253 峻さん、こんにちは。室宝蝕kグル`プの稼-看噛温敬温稼です。タツノオトシゴの嶼寂に、タツノイトコとタツノハトコがいます。 云籾です。Microsoft ID プラットフォ`ムからk佩されたアクセスト`クンをGraph A […]

The post Microsoft ID プラットフォ`ムのアクセスト`クンが ̄Invalid Signature ̄になる周 その1Express + Passport first appeared on 幄塀氏芙醍狭圻幹.

]]> 峻さん、こんにちは。室宝蝕kグル`プの稼-看噛温敬温稼です。
タツノオトシゴの嶼寂に、タツノイトコとタツノハトコがいます。

云籾です。
Microsoft ID プラットフォ`ムからk佩されたアクセスト`クンをGraph API參翌のリソ`スサ`バ`で旋喘しようとすると、”Invalid Signature”として屎しくI尖してくれません。でアクセスト`クンを盾裂しようとすると、揖に”Invalid Signature”が燕幣されてデジタル俸兆の編^に払,靴討い襪海箸蛍かります。書指は”Invalid Signature”の尖喇とI圭隈についてのおです。

Invalid Signature

採絞、デジタル俸兆の編^に払移するのか

Microsoft ID プラットフォ`ムからk佩されたアクセスト`クンを聞って、Graph APIで秤鵑鯣ゝ辰垢襪海箸漏栖ます。しかし、Graph API參翌のリソ`スサ`バ`にしてアクセスト`クンを聞喘すると、デジタル俸兆の編^に払,靴討靴泙い泙后この並鵑砲弔い討Azure AD GitHubのにh苧がありました。

Yとしては、Graph API喘にk佩されたアクセスト`クンには、Microsoft鏡徭のデジタル俸兆が仏されているため、そのアクセスト`クンはGraph API參翌のリソ`スサ`バ`では聞えません。JWTのデジタル俸兆はJWS()でカ┐気譴討り、Graph API喘にk佩されたアクセスト`クンは、そのカ┐ら翌れたデジタル俸兆をしているため、畜にはJWTではないことになります。

それは或粥顎岳鞄2.0の号鯉として諒籾ないの

Graph API喘にk佩されたアクセスト`クンは、畜にはJWTではありません。これはOAuth2.0のク颪箸靴}ないのでしょうか心陲┐蓮}ありません々です。OAuth2.0はト`クンのk佩と聞喘にvするJ辛プロトコルです。ト`クンの碧にvしてはg廾卆贋になります。なので、アクセスト`クンがJWT參翌のeの採かでも、リソ`スサ`バ`箸任修離肌`クンの嗤塵圓編^竃栖れば、OAuth2.0のク馼蓮}ないことになります。

とはいえ、でアクセスト`クンの嶄附が需れてしまうなど、干安意であるかのように列盾させてしまったことは賦しUないと、で峰べられています。

Graph API參翌のアクセスト`クンをk佩する圭隈

ゴ`ル

Graph API參翌のリソ`スサ`バ`で旋喘辛嬬な、JWT侘塀のアクセスト`クンを函誼したい栽は、User.ReadなどのGraph APIにvするアクセス慙泙scopeに峺協しなければ措いとのことです。なんともエンジニア日かせな碧ですが、碧圭がありません。シ`ケンスを2指に蛍けて、アクセスト`クンを2つk佩してBうようにします。

1指朕のシ`ケンスはOIDCJ^を佩いつつ、Graph API喘のアクセスト`クンをk佩してBいます。これは念指と揖じ坪否です。2指朕のシ`ケンスでは、或粥顎岳鞄2.0により徭念で喘吭したリソ`スサ`バ`へのアクセスト`クンをk佩してBいます。1指朕のシ`ケンスは念指を歌孚してください。書指は2指朕のシ`ケンスについて峰べます。

リソ`スサ`バ`喘のアプリを鞠hする

からリソ`スサ`バ`喘のアプリを鞠hします。アプリを鞠hした朔、仝粥永鴛の巷蝕々により、スコ`プを弖紗します。

クライアント迦のアクセス俯辛にリソ`スサ`バ`を弖紗する

クライアント迦のアクセス俯辛に、枠ほど鞠hしたリソ`スサ`バ`を弖紗します。これで扮犬詫蠢砲任后

或鴛禽遺喘の兜豚譜協を佩う

或鴛禽遺範^に駅勣な譜協を永温壊壊沿看姻岳に局します。

  // リソ`スサ`バ`へのアクセスト`クンを函誼するためのO協
  const oauth2Strategy = new OAuth2Strategy(
    {
      passReqToCallback: true,
      authorizationURL: `https://login.microsoftonline.com/${tenantId}/oauth2/v2.0/authorize`,
      tokenURL: `https://login.microsoftonline.com/${tenantId}/oauth2/v2.0/token`,
      clientID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
      clientSecret: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
      scope: ["offline_access", "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy/.default"],
      callbackURL: "/cb2", // callbackURL
    },
    function (
      req: Request,
      accessToken: string,
      refreshToken: string,
      profile: any,
      done: VerifyCallback
    ) {
      // 編^
      return done(null, {});
    }
  );

或鴛禽遺ではなく、或粥顎岳鞄2.0でト`クンをk佩してBいますので、聞喘するクラスはOAuth2Strategyになります。1指朕のシ`ケンスと曳べて、局す譜協坪否はほぼ揖じです。この嶄で廣朕すべきはscopeで、yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy/.defaultを峺協しています。yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyyはリソ`スサ`バ`のクライアント鴛禽です。yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy/.defaultを峺協することにより、ユ`ザ`にリソ`スサ`バ`への範辛を箔めると揖扮に、リソ`スサ`バ`へアクセス辛嬬なアクセスト`クンがk佩されます。

温顎岳鞄艶稼岳庄界温岳艶を柵び竃す

リクエストを鞭けて、永温壊壊沿看姻岳の温顎岳鞄艶稼岳庄界温岳艶()をI尖します。4つ協吶しています。

  // authenticate (1指朕)
  // ユ`ザ`のJ^と、Graph APIへのアクセスト`クンを函誼します。
  server.get("/login", passport.authenticate("openidconnect"));

  // authenticate (2指朕)
  server.get(
    "/cb",
    passport.authenticate("openidconnect", {
      failureRedirect: "/",
      failureMessage: true,
    }),
    async function (req, res, err) {
      // `/gettoken`へリダイレクトする
      // ★哈きAき、リソ`スサ`バ`へのアクセスト`クンを函誼するシ`ケンスを佩います。
      res.redirect("/gettoken");
    }
  );

  // authenticate (3指朕)
  // リソ`スサ`バ`へのアクセスト`クンを函誼します。
  server.get("/gettoken", passport.authenticate("oauth2"));

  // authenticate (4指朕)
  server.get(
    "/cb2",
    passport.authenticate("oauth2", {
      failureRedirect: "/",
      failureMessage: true,
    }),
    // post-request
    async function (req, res, err) {
      // `/user`へリダイレクトする
      res.redirect("/user");
    }
  );

authenticate (2指朕)では、/gettokenにリダイレクトして、そのままリソ`スサ`バ`喘のアクセスト`クンを函誼するようにしています。貧芝はh苧喘に噫柴なコ`ドを福いていますが、g縞は遺皆檎酷貨に壊岳温岳艶を局して編^するようにした圭が措いでしょう。

おわりに

或粥顎岳鞄2.0はト`クンのk佩と聞喘のプロセスであり、ト`クンの碧を根め、謹くがg廾卆贋もしくは桟廠卆贋となっています。揖じ或鴛禽遺範^プロトコルだとしても、範^児徒が離えば、聾かなところで碧が呟なることが措く蛍かる並箭ですね。念指と揖じ急めの冱匐になりますが、範^児徒のクセを屎しく尖盾しないといけませんね。

肝指はこの}をSpring Securityでどう盾Qするのかをテ`マにしたいと房います。

ではまた。

The post Microsoft ID プラットフォ`ムのアクセスト`クンが ̄Invalid Signature ̄になる周 その1Express + Passport first appeared on 幄塀氏芙醍狭圻幹.

]]>