Freigeben über

Sichere Java Spring Boot-Apps mit Azure Active Directory B2C

  • Artikel

In diesem Artikel wird eine Java Spring Boot Web App veranschaulicht, die Benutzer in Ihrem Azure Active Directory B2C-Mandanten mit der Azure AD B2C Spring Boot Starter-Clientbibliothek für Java anmeldet. Es verwendet das OpenID-Verbinden-Protokoll.

Das folgende Diagramm zeigt die Topologie der App:

Diagramm, das die Topologie der App zeigt.

Die Client-App verwendet die Azure AD B2C Spring Boot Starter-Clientbibliothek für Java, um sich bei einem Benutzer anzumelden und ein ID-Token von Azure AD B2C abzurufen. Das ID-Token beweist, dass der Benutzer bei Azure AD B2C authentifiziert ist und dem Benutzer den Zugriff auf geschützte Routen ermöglicht.

Voraussetzungen

Empfehlungen

  • Vertrautheit mit dem Spring Framework
  • Vertrautheit mit Linux/OSX-Terminal oder Windows PowerShell
  • jwt.ms zum Überprüfen Ihrer Token.
  • Fiddler zur Überwachung Ihrer Netzwerkaktivität und Problembehandlung.
  • Folgen Sie dem Microsoft Entra ID-Blog , um mit den neuesten Entwicklungen auf dem neuesten Stand zu bleiben.

Einrichten des Beispiels

In den folgenden Abschnitten wird gezeigt, wie Sie die Beispielanwendung einrichten.

Klonen oder Herunterladen des Beispiel-Repositorys

Um das Beispiel zu klonen, öffnen Sie ein Bash-Fenster, und verwenden Sie den folgenden Befehl:

git clone https://github.com/Azure-Samples/ms-identity-java-spring-tutorial.git
cd ms-identity-java-spring-tutorial
cd 1-Authentication/sign-in-b2c

Alternativ können Sie zum Repository "ms-identity-java-spring-tutorial " navigieren und dann als .zip Datei herunterladen und auf Ihre Festplatte extrahieren.

Wichtig

Um Dateipfadlängenbeschränkungen für Windows zu vermeiden, klonen Oder extrahieren Sie das Repository in ein Verzeichnis in der Nähe des Stammverzeichnisses Ihrer Festplatte.

Dieses Beispiel enthält eine vorab registrierte Anwendung für Demozwecke. Wenn Sie Ihren eigenen Azure AD B2C-Mandanten und Ihre eigene Anwendung verwenden möchten, registrieren und konfigurieren Sie die Anwendung im Azure-Portal. Weitere Informationen finden Sie im Abschnitt "Registrieren der App ". Fahren Sie andernfalls mit den Schritten im Abschnitt "Ausführen des Beispiels " fort.

Wählen Sie den Azure AD B2C-Mandanten aus, in dem Sie Ihre Anwendungen erstellen möchten.

Führen Sie die folgenden Schritte aus, um Ihren Mandanten auszuwählen:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wenn Ihr Konto in mehr als einem Azure AD B2C-Mandanten vorhanden ist, wählen Sie Ihr Profil in der Ecke des Azure-Portal aus, und wählen Sie dann "Verzeichnis wechseln" aus, um Ihre Sitzung in den gewünschten Azure AD B2C-Mandanten zu ändern.

Erstellen von Benutzerflüssen und benutzerdefinierten Richtlinien

Informationen zum Erstellen allgemeiner Benutzerflüsse wie Registrierung, Anmeldung, Profilbearbeitung und Kennwortzurücksetzung finden Sie im Lernprogramm: Erstellen von Benutzerflüssen in Azure Active Directory B2C.

Sie sollten auch benutzerdefinierte Richtlinien in Azure Active Directory B2C erstellen. Diese Aufgabe liegt jedoch außerhalb des Umfangs dieses Lernprogramms. Weitere Informationen finden Sie in der Übersicht über benutzerdefinierte Azure AD B2C-Richtlinien.

Hinzufügen externer Identitätsanbieter

Siehe Lernprogramm: Hinzufügen von Identitätsanbietern zu Ihren Anwendungen in Azure Active Directory B2C.

Registrieren der App (java-spring-webapp-auth-b2c)

Führen Sie die folgenden Schritte aus, um die App zu registrieren:

  1. Navigieren Sie zum Azure-Portal, und wählen Sie Azure AD B2C aus.

  2. Wählen Sie im Navigationsbereich "App-Registrierungen" und dann "Neue Registrierung" aus.

  3. Geben Sie auf der angezeigten Seite "Anwendung registrieren" die folgenden Anwendungsregistrierungsinformationen ein:

    • Geben Sie im Abschnitt "Name " einen aussagekräftigen Anwendungsnamen ein, der Benutzern der App angezeigt werden soll , java-spring-webapp-auth-b2cz. B. .
    • Wählen Sie unter Unterstützte KontotypenKonten in einem beliebigen Identitätsanbieter oder Organisationsverzeichnis (zur Authentifizierung von Benutzern mit Benutzerflows) aus.
    • Wählen Sie im Abschnitt "Umleitungs-URI (optional)" im Kombinationsfeld "Web" aus, und geben Sie den folgenden Umleitungs-URI ein: http://localhost:8080/login/oauth2/code/

  4. Wählen Sie Registrieren aus, um die Anwendung zu erstellen.

  5. Suchen Und kopieren Sie auf der Registrierungsseite der App den Wert der Anwendungs-ID (Client-ID ), die Sie später verwenden möchten. Sie verwenden diesen Wert in der Konfigurationsdatei oder -dateien Ihrer App.

  6. Wählen Sie Speichern aus, um die Änderungen zu speichern.

  7. Wählen Sie auf der Registrierungsseite der App den Bereich "Zertifikate und Geheime Schlüssel " im Navigationsbereich aus, um die Seite zu öffnen, um Geheime Schlüssel zu generieren und Zertifikate hochzuladen.

  8. Wählen Sie im Abschnitt Geheime Clientschlüssel die Option Neuer geheimer Clientschlüssel aus.

  9. Geben Sie eine Beschreibung ein, z. B. den geheimen App-Schlüssel.

  10. Wählen Sie eine der verfügbaren Dauer gemäß Ihren Sicherheitsbedenken aus , z. B. in 2 Jahren.

  11. Wählen Sie Hinzufügen aus. Der generierte Wert wird angezeigt.

  12. Kopieren und speichern Sie den generierten Wert für die Verwendung in späteren Schritten. Sie benötigen diesen Wert für die Konfigurationsdateien Ihres Codes. Dieser Wert wird nicht mehr angezeigt, und Sie können ihn nicht auf andere Weise abrufen. Achten Sie daher darauf, sie aus dem Azure-Portal zu speichern, bevor Sie zu einem anderen Bildschirm oder Bereich navigieren.

Konfigurieren der App (java-spring-webapp-auth-b2c) für die Verwendung Ihrer App-Registrierung

Führen Sie die folgenden Schritte aus, um die App zu konfigurieren:

Hinweis

In den folgenden Schritten ClientID ist identisch mit Application ID oder AppId.

  1. Öffnen Sie das Projekt in Ihrer IDE.

  2. Öffnen Sie die Datei "src/Standard/resources/application.yml".

  3. Suchen Sie die client-id Eigenschaft, und ersetzen Sie den vorhandenen Wert durch die Anwendungs-ID oder clientId die java-spring-webapp-auth-b2c Anwendung aus dem Azure-Portal.

  4. Suchen Sie die client-secret Eigenschaft, und ersetzen Sie den vorhandenen Wert durch den Wert, den Sie während der Erstellung der java-spring-webapp-auth-b2c Anwendung aus dem Azure-Portal gespeichert haben.

  5. Suchen Sie die base-uri Eigenschaft, und ersetzen Sie die beiden Instanzen des Werts fabrikamb2c durch den Namen des Azure AD B2C-Mandanten, in dem Sie die java-spring-webapp-auth-b2c Anwendung in der Azure-Portal erstellt haben.

  6. Suchen Sie die sign-up-or-sign-in Eigenschaft, und ersetzen Sie sie durch den Namen der Registrierungs-/Anmelde-Benutzerflussrichtlinie, die Sie im Azure AD B2C-Mandanten erstellt haben, in dem Sie die java-spring-webapp-auth-b2c Anwendung im Azure-Portal erstellt haben.

  7. Suchen Sie die profile-edit Eigenschaft, und ersetzen Sie sie durch den Namen der Richtlinie zum Zurücksetzen des Benutzerflusses, die Sie im Azure AD B2C-Mandanten erstellt haben, in dem Sie die java-spring-webapp-auth-b2c Anwendung im Azure-Portal erstellt haben.

  8. Suchen Sie die password-reset Eigenschaft, und ersetzen Sie sie durch den Namen der Edit Profile User-Flow-Richtlinie, die Sie im Azure AD B2C-Mandanten erstellt haben, in dem Sie die java-spring-webapp-auth-b2c Anwendung im Azure-Portal erstellt haben.

  9. Öffnen Sie die Datei "src/Standard/resources/templates/navbar.html".

  10. Suchen Sie die Verweise auf die b2c_1_susi und b2c_1_edit_profile Flüsse, und ersetzen Sie sie durch Ihre sign-up-sign-in und profile-edit Benutzerflüsse.

Ausführen des Beispiels

In den folgenden Abschnitten wird gezeigt, wie Sie das Beispiel für Azure Spring Apps bereitstellen.

Voraussetzungen

Vorbereiten des Frühlingsprojekts

Bereiten Sie das Projekt mit den folgenden Schritten vor:

  1. Verwenden Sie den folgenden Maven-Befehl, um das Projekt zu erstellen:

    mvn clean package

  2. Führen Sie das Beispielprojekt mit dem folgenden Befehl lokal aus:

    mvn spring-boot:run

Konfigurieren des Maven-Plug-Ins

Führen Sie den folgenden Befehl im Stammverzeichnis des Projekts aus, um die App mithilfe des Maven-Plug-Ins für Azure Spring Apps zu konfigurieren:

mvn com.microsoft.azure:azure-spring-apps-maven-plugin:1.19.0:config

In der folgenden Liste werden die Befehlsinteraktionen beschrieben:

  • OAuth2-Anmeldung: Sie müssen die Anmeldung bei Azure basierend auf dem OAuth2-Protokoll autorisieren.
  • Abonnement auswählen: Wählen Sie die Abonnementlistennummer aus, unter der Sie Ihre Azure Spring Apps-Instanz erstellen möchten, die standardmäßig auf das erste Abonnement in der Liste festgelegt ist. Wenn Sie die Standardnummer verwenden möchten, drücken Sie die EINGABETASTE.
  • Geben Sie den Namen von Azure Spring Apps ein: Geben Sie den Namen für die Spring-Apps-Instanz ein, die Sie erstellen möchten. Wenn Sie den Standardnamen verwenden möchten, drücken Sie die EINGABETASTE.
  • Geben Sie den Ressourcengruppennamen ein: Geben Sie den Namen für die Ressourcengruppe ein, in der Sie Ihre Feder-Apps-Instanz erstellen möchten. Wenn Sie den Standardnamen verwenden möchten, drücken Sie die EINGABETASTE.
  • Skus: Wählen Sie die SKU aus, die Sie für Ihre Feder-Apps-Instanz verwenden möchten. Wenn Sie die Standardnummer verwenden möchten, drücken Sie die EINGABETASTE.
  • App-Namen eingeben (Demo): Vergeben Sie einen Namen für die App. Wenn Sie die Standard-Projektartefakte-ID verwenden möchten, drücken Sie die EINGABETASTE.
  • Laufzeiten: Wählen Sie die Laufzeit aus, die Sie für Ihre Feder-Apps-Instanz verwenden möchten. In diesem Fall sollten Sie die Standardnummer verwenden, also drücken Sie die EINGABETASTE.
  • Öffentlichen Zugriff für diese App verfügbar machen (boot-for-azure): Drücken Sie y (j).
  • Bestätigen, dass alle oben genannten Konfigurationen gespeichert werden sollen: Drücken Sie y. Wenn Sie n drücken, wird die Konfiguration nicht in der POM-Datei gespeichert.

Das folgende Beispiel zeigt die Ausgabe des Bereitstellungsprozesses:

Summary of properties:
Subscription id   : 12345678-1234-1234-1234-123456789101
Resource group name : rg-ms-identity-spring-boot-webapp
Azure Spring Apps name : cluster-ms-identity-spring-boot-webapp
Runtime Java version : Java 11
Region            : eastus
Sku               : Standard
App name          : ms-identity-spring-boot-webapp
Public access     : true
Instance count/max replicas : 1
CPU count         : 1
Memory size(GB)   : 2
Confirm to save all the above configurations (Y/n):
[INFO] Configurations are saved to: /home/user/ms-identity-java-spring-tutorial/1-Authentication/sign-in/pom.    xml
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  01:57 min
[INFO] Finished at: 2024-02-14T13:50:44Z
[INFO] ------------------------------------------------------------------------

Nachdem Sie Ihre Auswahl bestätigt haben, fügt das Plug-In das erforderliche Plug-In-Element und die Einstellungen zur pom.xml Datei Ihres Projekts hinzu, um Ihre App für die Ausführung in Azure Spring Apps zu konfigurieren.

Der relevante Teil der pom.xml Datei sollte dem folgenden Beispiel ähneln:

<plugin>
    <groupId>com.microsoft.azure</groupId>
    <artifactId>azure-spring-apps-maven-plugin</artifactId>
    <version>1.19.0</version>
    <configuration>
        <subscriptionId>12345678-1234-1234-1234-123456789101</subscriptionId>
        <resourceGroup>rg-ms-identity-spring-boot-webapp</resourceGroup>
        <clusterName>cluster-ms-identity-spring-boot-webapp</clusterName>
        <region>eastus</region>
        <sku>Standard</sku>
        <appName>ms-identity-spring-boot-webapp</appName>
        <isPublic>true</isPublic>
        <deployment>
            <cpu>1</cpu>
            <memoryInGB>2</memoryInGB>
            <instanceCount>1</instanceCount>
            <runtimeVersion>Java 11</runtimeVersion>
            <resources>
                <resource>
                    <directory>${project.basedir}/target</directory>
                    <includes>
                        <include>*.jar</include>
                    </includes>
                </resource>
            </resources>
        </deployment>
    </configuration>
</plugin>

Sie können die Konfigurationen für Azure Spring Apps direkt in Ihrer pom.xml Datei ändern. Einige gängige Konfigurationen sind in der folgenden Tabelle aufgeführt:

Eigenschaft Erforderlich Beschreibung
subscriptionId false Die Abonnement-ID.
resourceGroup true Die Azure-Ressourcengruppe für Ihre Azure Spring Apps-Instanz.
clusterName true Der Name des Azure Spring Apps-Clusters. Wenn Sie ein Abonnement und eine Ressourcengruppe verwenden, für die bereits eine Azure Spring Apps-Instanz bereitgestellt wurde, können Sie diesen vorhandenen Cluster auch für die Bereitstellung verwenden.
appName true Der Name Ihrer App in Azure Spring Apps.
region false Die Region, in der Ihre Azure Spring Apps-Instanz gehostet werden soll. Der Standardwert ist eastus. Gültige Regionen finden Sie unter "Unterstützte Regionen".
sku false Das Preisniveau für Ihre Azure Spring Apps-Instanz. Der Standardwert ist Basic, der nur für Entwicklungs- und Testumgebungen geeignet ist.
runtime false Die Laufzeitumgebungskonfiguration. Weitere Informationen finden Sie unter Konfigurationsdetails.
deployment false Die Bereitstellungskonfiguration. Weitere Informationen finden Sie unter Konfigurationsdetails.

Eine vollständige Liste der Konfigurationen finden Sie in der Dokumentation zur Plug-In-Referenz. Alle Azure Maven-Plug-Ins teilen einen gemeinsamen Satz von Konfigurationen. Informationen zu diesen Konfigurationen finden Sie unter "Allgemeine Konfigurationen". Konfigurationen speziell für Azure Spring Apps finden Sie unter Azure Spring Apps: Konfigurationsdetails.

Achten Sie darauf, die Werte für appName die clusterName spätere Verwendung beiseite zu speichern.

Vorbereiten der App für die Bereitstellung

Wenn Sie Ihre Anwendung in Azure Spring Apps bereitstellen, ändert sich Ihre Umleitungs-URL in der Umleitungs-URL Ihrer bereitgestellten App-Instanz in Azure Spring Apps. Führen Sie die folgenden Schritte aus, um diese Einstellungen in Ihrer application.yml Datei zu ändern:

  1. Navigieren Sie zur Datei "src\Standard\resources\application.yml", und ändern Sie den Wert der post-logout-redirect-uri bereitgestellten App Standard Name, wie im folgenden Beispiel gezeigt. Wenn Sie sich z. B. im vorherigen Schritt und ms-identity-spring-boot-webapp für den App-Namen für Ihre Azure Spring Apps-Instanz entschieden cluster-ms-identity-spring-boot-webapp haben, müssen Sie jetzt den post-logout-redirect-uri Wert verwendenhttps://cluster-ms-identity-spring-boot-webapp-ms-identity-spring-boot-webapp.azuremicroservices.io.

    post-logout-redirect-uri: https://<cluster-name>-<app-name>.azuremicroservices.io

  2. Verwenden Sie nach dem Speichern dieser Datei den folgenden Befehl, um Ihre App neu zu erstellen:

    mvn clean package

Wichtig

Die application.yml Datei der Anwendung enthält derzeit den Wert Ihres geheimen Clientschlüssels im client-secret Parameter. Es empfiehlt sich nicht, diesen Wert in dieser Datei beizubehalten. Sie können auch ein Risiko eingehen, wenn Sie es auf ein Git-Repository übernehmen.

Als zusätzlicher Sicherheitsschritt können Sie diesen Wert in Azure Key Vault speichern und den geheimen Schlüssel aus Key Vault laden, um ihn in Ihrer Anwendung verfügbar zu machen.

Aktualisieren Ihrer Microsoft Entra ID-App-Registrierung

Da sich der Umleitungs-URI in Ihrer bereitgestellten App in Azure Spring Apps ändert, müssen Sie auch den Umleitungs-URI in Ihrer Microsoft Entra ID-App-Registrierung ändern. Durchlaufen Sie folgende Schritte, um diese Änderung wirksam zu machen:

  1. Navigieren Sie zur Seite App-Registrierungen von Microsoft Identity Platform für Entwickler.

  2. Verwenden Sie das Suchfeld, um nach Ihrer App-Registrierung zu suchen , java-servlet-webapp-authenticationz. B. .

  3. Öffnen Sie die App-Registrierung, indem Sie den Namen auswählen.

  4. Wählen Sie im oberen Menü Authentifizierung aus.

  5. Wählen Sie im Abschnitt "Webumleitungs-URIs - " die Option "URI hinzufügen" aus.

  6. Füllen Sie den URI Ihrer App aus, https://<cluster-name>-<app-name>.azuremicroservices.io/login/oauth2/code/z. B. anfügen /login/oauth2/code/ .

  7. Wählen Sie Speichern.

Bereitstellen der App

Verwenden Sie den folgenden Befehl, um die App bereitzustellen:

mvn azure-spring-apps:deploy

In der folgenden Liste wird die Befehlsinteraktion beschrieben:

  • OAuth2-Anmeldung: Sie müssen die Anmeldung bei Azure basierend auf dem OAuth2-Protokoll autorisieren.

Nachdem der Befehl ausgeführt wurde, ersehen Sie aus der folgenden Protokollbenachrichtigung, dass die Bereitstellung erfolgreich war:

[INFO] Deployment(default) is successfully created
[INFO] Starting Spring App after deploying artifacts...
[INFO] Deployment Status: Running
[INFO]   InstanceName:demo-default-x-xxxxxxxxxx-xxxxx  Status:Running Reason:null       DiscoverStatus:UNREGISTERED
[INFO]   InstanceName:demo-default-x-xxxxxxxxx-xxxxx  Status:Terminating Reason:null       DiscoverStatus:UNREGISTERED
[INFO] Getting public url of app(demo)...
[INFO] Application url: https://<your-Azure-Spring-Apps-instance-name>-demo.azuremicroservices.io

Überprüfen der App

Nachdem die Bereitstellung abgeschlossen ist, greifen Sie auf die Anwendung mit der Ausgabeanwendungs-URL zu. Verwenden Sie die folgenden Schritte, um die Protokolle der App zu überprüfen, um Bereitstellungsprobleme zu untersuchen:

  1. Greifen Sie auf die Ausgabeanwendungs-URL auf der Seite "Ausgaben" des Bereitstellungsbereichs zu.

  2. Wählen Sie im Navigationsbereich der Übersichtsseite der Azure Spring Apps-Instanz Protokolle aus, um die Protokolle der App zu überprüfen.

Untersuchen des Beispiels

Führen Sie die folgenden Schritte aus, um das Beispiel zu erkunden:

  1. Beachten Sie den angemeldeten oder abgemeldeten Status, der in der Mitte des Bildschirms angezeigt wird.
  2. Wählen Sie in der Ecke die Schaltfläche "Kontextsensitiv" aus. Diese Schaltfläche liest die Anmeldung , wenn Sie die App zum ersten Mal ausführen. Alternativ können Sie den Link zu Tokendetails auswählen. Da diese Seite geschützt ist und eine Authentifizierung erfordert, werden Sie automatisch zur Anmeldeseite umgeleitet.
  3. Folgen Sie auf der nächsten Seite den Anweisungen, und melden Sie sich mit einem Konto Ihres ausgewählten Identitätsanbieters an. Sie können sich auch bei einem lokalen Konto im B2C-Mandanten mit einer E-Mail-Adresse anmelden oder sich bei einem lokalen Konto anmelden.
  4. Nach erfolgreichem Abschluss des Anmeldeflusses sollten Sie auf die Startseite umgeleitet werden, die den Anmeldestatus anzeigt, oder die Tokendetailseite , je nachdem, welche Schaltfläche ihren Anmeldefluss ausgelöst hat.
  5. Beachten Sie, dass die Kontextsensitive Schaltfläche jetzt "Abmelden" anzeigt und Ihren Benutzernamen anzeigt.
  6. Wenn Sie sich auf der Startseite befinden, wählen Sie ID-Tokendetails aus, um einige der decodierten Ansprüche des ID-Tokens anzuzeigen.
  7. Bearbeiten Sie Ihr Profil. Wählen Sie "Profil bearbeiten" aus, um Details wie Ihren Anzeigenamen, Ihren Aufenthaltsort und Ihren Beruf zu ändern.
  8. Verwenden Sie die Schaltfläche in der Ecke, um sich abzumelden. Die Statusseite gibt den neuen Zustand wieder.

Informationen zum Code

In diesem Beispiel wird veranschaulicht, wie Sie die Azure AD B2C Spring Boot Starter-Clientbibliothek für Java verwenden, um Benutzer bei Ihrem Azure AD B2C-Mandanten anzumelden. Das Beispiel verwendet auch die Spring Oauth2-Client- und Spring-Webstartstarter. Im Beispiel werden Ansprüche aus dem VON Azure AD B2C abgerufenen ID-Token verwendet, um die Details des angemeldeten Benutzers anzuzeigen.

Contents

Die folgende Tabelle zeigt den Inhalt des Beispielprojektordners:

Datei/Ordner Beschreibung
pom.xml Anwendungsabhängigkeiten.
src/Standard/resources/templates/ Thymeleaf-Vorlagen für die Benutzeroberfläche.
src/Standard/resources/application.yml Anwendungs- und Microsoft Entra Boot Starter-Bibliothekskonfiguration.
src/Standard/java/com/microsoft/azuresamples/msal4j/msidentityspringbootwebapp/ Dieses Verzeichnis enthält die Standard Anwendungseinstiegspunkt, Controller und Konfigurationsklassen.
.../MsIdentitySpringBootWebappApplication.java Hauptklasse.
.../SampleController.java Controller mit Endpunktzuordnungen.
.../SecurityConfig.java Sicherheitskonfiguration – z. B. welche Routen eine Authentifizierung erfordern.
.../Utilities.java Hilfsklasse – z. B. Filter-ID-Tokenansprüche.
CHANGELOG.md Liste der Änderungen am Beispiel.
CONTRIBUTING.md Richtlinien für einen Beitrag zur Stichprobe.
LIZENZ Die Lizenz für das Beispiel.

ID-Tokenansprüche

Um Tokendetails zu extrahieren, verwendet die App Spring Security AuthenticationPrincipal und OidcUser -Objekt in einer Anforderungszuordnung, wie im folgenden Beispiel dargestellt, wie im folgenden Beispiel gezeigt. Ausführliche Informationen dazu, wie diese App ID-Tokenansprüche verwendet, finden Sie im Beispielcontroller .

import org.springframework.security.oauth2.core.oidc.user.OidcUser;
import org.springframework.security.core.annotation.AuthenticationPrincipal;
//...
@GetMapping(path = "/some_path")
public String tokenDetails(@AuthenticationPrincipal OidcUser principal) {
    Map<String, Object> claims = principal.getIdToken().getClaims();
}

Für die Anmeldung sendet die App eine Anforderung an den Azure AD B2C-Anmeldeendpunkt, der automatisch von der Azure AD B2C Spring Boot Starter-Clientbibliothek für Java konfiguriert wurde, wie im folgenden Beispiel gezeigt:

<a class="btn btn-success" href="/oauth2/authorization/{your-sign-up-sign-in-user-flow}">Sign In</a>

Für die Abmeldung sendet die App eine POST-Anforderung an den logout Endpunkt, wie im folgenden Beispiel gezeigt:

<form action="#" th:action="@{/logout}" method="post">
  <input class="btn btn-warning" type="submit" value="Sign Out" />
</form>

Authentifizierungsabhängige UI-Elemente

Die App verfügt über eine einfache Logik auf den Benutzeroberflächenvorlagenseiten, um basierend darauf zu bestimmen, ob der Benutzer authentifiziert wird, wie im folgenden Beispiel unter Verwendung von Spring Security Thymeleaf-Tags gezeigt:

<div sec:authorize="isAuthenticated()">
  this content only shows to authenticated users
</div>
<div sec:authorize="isAnonymous()">
  this content only shows to not-authenticated users
</div>

Schützen von Routen mit WebSecurityConfigurerAdapter

Standardmäßig schützt die App die Seite "ID-Tokendetails ", sodass nur angemeldete Benutzer darauf zugreifen können. Die App konfiguriert diese Routen aus der Eigenschaft aus der app.protect.authenticateddatei application.yml . Um die spezifischen Anforderungen Ihrer App zu konfigurieren, können Sie in einem Ihrer Klassen erweitern WebSecurityConfigurerAdapter . Ein Beispiel finden Sie in der SecurityConfig-Klasse dieser App, die im folgenden Code gezeigt wird:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Value("${app.protect.authenticated}")
    private String[] protectedRoutes;

    private final AADB2COidcLoginConfigurer configurer;

    public SecurityConfig(AADB2COidcLoginConfigurer configurer) {
        this.configurer = configurer;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http.authorizeRequests()
            .antMatchers(protectedRoutes).authenticated()     // limit these pages to authenticated users (default: /token_details)
            .antMatchers("/**").permitAll()                  // allow all other routes.
            .and()
            .apply(configurer)
            ;
        // @formatter:off
    }
}

Weitere Informationen

Weitere Informationen zur Funktionsweise von OAuth 2.0-Protokollen in diesem Szenario und anderen Szenarien finden Sie unter Authentifizierungsszenarien für Microsoft Entra ID.