问题描述
使用 Azure AD 注册应用 Oauth2 v2.0的终结点(OAuth 2.0 token endpoint (v2): https://login.partner.microsoftonline.cn/<your tenant id>/oauth2/v2.0/token ) 获取Token,解析出来依旧为v1.0,如何解决呢?
请求Method: |
POST |
请求URL: |
https://login.partner.microsoftonline.cn/<your tenant id>/oauth2/v2.0/token |
| 请求的Body: | tenant:<your tenant id> client_id:AAD注册应用的Application ID scope:api://<AAD注册应用的 Expose an API -- Application ID URI>/.default grant_type:client_credentials client_secret:<密码> |
| 执行后的结果为: | { "token_type": "Bearer", "expires_in": 3599, "ext_expires_in": 3599, "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIs... ...4ei78w" } |
Postman执行截图:
但是,对生成的Access_Token内容进行解码(Decode)时,结果发现version 为 1.0 :
JWT 解析地址:https://jwt.ms/
问题解答
经过对Azure AD的应用注册的了解,它的程序清单中,存在一个属性值来控制生成的令牌版本(Token Version)。这个属性值就是 accessTokenAcceptedVersion
指定资源的访问令牌版本。 此参数会更改 JWT 的版本和格式。
accesstokenAcceptedVersion 的可能值为 1、2 或为 null。 如果值为 null,则此参数默认为 1,这对应于 v1.0 终结点。
使用的端点 v1.0 或 v2.0 由客户端选择,仅影响 id_tokens 的版本。 资源需要显式配置 accesstokenAcceptedVersion 以指示受支持的访问令牌格式。
根据以上说明,返回到Azure AD的注册应用页面,查看程序清单,检查 accessTokenAcceptedVersion 的值
基于以上发现,确定解决方案为:修改 accessTokenAcceptedVersion 的值为 2 .
操作演示动画
第一部分:修改 accessTokenAcceptedVersion
第二部分:验证 Access Token
参考资料
Azure Active Directory 应用清单:https://docs.azure.cn/zh-cn/active-directory/develop/reference-app-manifest#accesstokenacceptedversion-attribute
【Azure API 管理】在 Azure API 管理中使用 OAuth 2.0 授权和 Azure AD 保护 Web API 后端,在请求中携带Token访问后报401的错误 : https://www.cnblogs.com/lulight/p/14378218.html
【Azure 应用服务】NodeJS Express + MSAL 实现API应用Token认证(AAD OAuth2 idToken)的认证实验 -- passport.authenticate() : https://www.cnblogs.com/lulight/p/16365869.html
