Mengaktifkan masuk untuk aplikasi Java JBoss EAP menggunakan MSAL4J dengan Azure Active Directory B2C

Artikel ini menunjukkan aplikasi Java JBoss EAP yang mengautentikasi pengguna terhadap Azure Active Directory B2C (Azure AD B2C) menggunakan Microsoft Authentication Library for Java (MSAL4J).

Diagram berikut menunjukkan topologi aplikasi:

Diagram yang menunjukkan topologi aplikasi.

Aplikasi ini menggunakan MSAL4J untuk memasukkan pengguna dan mendapatkan token ID dari Azure AD B2C. Token ID membuktikan bahwa pengguna diautentikasi terhadap penyewa Azure AD B2C.

Prasyarat

• JDK versi 8 atau lebih tinggi
• Maven 3
• Penyewa Azure AD B2C. Untuk informasi selengkapnya, lihat Tutorial: Membuat penyewa Azure Active Directory B2C
• Akun pengguna di penyewa Azure AD B2C Anda.

• JBoss EAP
• Visual Studio Code
• Alat Azure untuk Visual Studio Code

Rekomendasi

• Beberapa keakraban dengan Java / Jakarta Servlets.
• Beberapa keakraban dengan terminal Linux/OSX.
• jwt.ms untuk memeriksa token Anda.
• Fiddler untuk memantau aktivitas jaringan dan pemecahan masalah Anda.
• Ikuti Blog Microsoft Entra untuk tetap up-to-date dengan perkembangan terbaru.

Menyiapkan sampel

Bagian berikut menunjukkan kepada Anda cara menyiapkan aplikasi sampel.

Mengkloning atau mengunduh repositori sampel

Untuk mengkloning sampel, buka jendela Bash dan gunakan perintah berikut:

git clone https://github.com/Azure-Samples/ms-identity-msal-java-samples.git
cd 3-java-servlet-web-app/1-Authentication/sign-in-b2c

Atau, navigasikan ke repositori ms-identity-msal-java-samples , lalu unduh sebagai file .zip dan ekstrak ke hard drive Anda.

Penting

Untuk menghindari batasan panjang jalur file pada Windows, kloning atau ekstrak repositori ke direktori di dekat akar hard drive Anda.

Mendaftarkan aplikasi sampel dengan penyewa Azure AD B2C Anda

Sampel dilengkapi dengan aplikasi yang telah terdaftar sebelumnya untuk tujuan pengujian. Jika Anda ingin menggunakan penyewa dan aplikasi Azure AD B2C Anda sendiri, ikuti langkah-langkah di bagian berikut untuk mendaftar dan mengonfigurasi aplikasi di portal Azure. Jika tidak, lanjutkan dengan langkah-langkah untuk Menjalankan sampel.

Pilih penyewa Azure AD B2C tempat Anda ingin membuat aplikasi

Untuk memilih penyewa Anda, gunakan langkah-langkah berikut:

1. Masuk ke portal Azure.

2. Jika akun Anda ada di lebih dari satu penyewa Azure AD B2C, pilih profil Anda di sudut portal Azure, lalu pilih Alihkan direktori untuk mengubah sesi Anda ke penyewa Azure AD B2C yang diinginkan.

Membuat alur pengguna dan kebijakan kustom

Untuk membuat alur pengguna umum seperti pendaftaran, masuk, pengeditan profil, dan reset kata sandi, lihat Tutorial: Membuat alur pengguna di Azure Active Directory B2C.

Anda harus mempertimbangkan untuk membuat kebijakan Kustom di Azure Active Directory B2C juga, namun, ini di luar cakupan tutorial ini.

Menambahkan IdP eksternal

Lihat Tutorial: Menambahkan penyedia identitas ke aplikasi Anda di Azure Active Directory B2C.

Daftarkan aplikasi (ms-identity-b2c-java-servlet-webapp-authentication)

Untuk mendaftarkan aplikasi, gunakan langkah-langkah berikut:

1. Navigasi ke portal Azure dan pilih Azure AD B2C.

2. Pilih Pendaftaran Aplikasi di panel navigasi, lalu pilih Pendaftaran baru.

3. Di halaman Daftarkan aplikasi yang muncul, masukkan informasi pendaftaran aplikasi berikut ini:

   • Di bagian Nama , masukkan nama aplikasi yang bermakna untuk ditampilkan kepada pengguna aplikasi - misalnya, ms-identity-b2c-java-servlet-webapp-authentication.
   • Di bawah Jenis akun yang didukung, pilih Akun di direktori organisasi dan akun Microsoft pribadi apa pun (misalnya Skype, Xbox, Outlook.com).
   • Di bagian Alihkan URI (opsional) , pilih Web di kotak kombo dan masukkan URI pengalihan berikut: http://localhost:8080/ms-identity-b2c-java-servlet-webapp-authentication/auth_redirect.

4. Pilih Daftar untuk membuat aplikasi.

5. Pada halaman pendaftaran aplikasi, temukan dan salin nilai ID Aplikasi (klien) untuk digunakan nanti. Anda menggunakan nilai ini dalam file atau file konfigurasi aplikasi Anda.

6. Pilih Simpan untuk menerapkan perubahan.

7. Pada halaman pendaftaran aplikasi, pilih Sertifikat & rahasia di panel navigasi untuk membuka halaman tempat Anda dapat membuat rahasia dan mengunggah sertifikat.

8. Di bagian Rahasia klien, pilih Rahasia klien baru.

9. Ketik deskripsi - misalnya, rahasia aplikasi.

10. Pilih salah satu durasi yang tersedia: Dalam 1 tahun, Dalam 2 tahun, atau Tidak Pernah Kedaluwarsa.

11. Pilih Tambahkan. Nilai yang dihasilkan ditampilkan.

12. Salin dan simpan nilai yang dihasilkan untuk digunakan di langkah selanjutnya. Anda memerlukan nilai ini untuk file konfigurasi kode Anda. Nilai ini tidak ditampilkan lagi, dan Anda tidak dapat mengambilnya dengan cara lain. Jadi, pastikan untuk menyimpannya dari portal Azure sebelum Anda menavigasi ke layar atau panel lain.

Mengonfigurasi aplikasi (ms-identity-b2c-java-servlet-webapp-authentication) untuk menggunakan pendaftaran aplikasi Anda

Gunakan langkah-langkah berikut untuk mengonfigurasi aplikasi:

Catatan

Dalam langkah-langkah berikut, ClientID sama dengan Application ID atau AppId.

1. Buka proyek di IDE Anda.

2. Buka file ./src/main/resources/authentication.properties.

3. aad.clientId Temukan properti dan ganti nilai yang ada dengan ID aplikasi atau clientIdms-identity-b2c-java-servlet-webapp-authentication aplikasi dari portal Azure.

4. aad.secret Temukan properti dan ganti nilai yang ada dengan nilai yang Anda simpan selama pembuatan ms-identity-b2c-java-servlet-webapp-authentication aplikasi dari portal Azure.

5. aad.scopes Temukan properti dan ganti clientId aplikasi yang ada dengan nilai yang Anda tempatkan aad.clientId di langkah 1 bagian ini.

6. aad.authority Temukan properti dan ganti instans fabrikamb2c pertama dengan nama penyewa Azure AD B2C tempat Anda membuat ms-identity-b2c-java-servlet-webapp-authentication aplikasi di portal Azure.

7. aad.authority Temukan properti dan ganti instans fabrikamb2c kedua dengan nama penyewa Azure AD B2C tempat Anda membuat ms-identity-b2c-java-servlet-webapp-authentication aplikasi di portal Azure.

8. aad.signInPolicy Temukan properti dan ganti dengan nama kebijakan alur pengguna pendaftaran/masuk yang Anda buat di penyewa Azure AD B2C tempat Anda membuat ms-identity-b2c-java-servlet-webapp-authentication aplikasi di portal Azure.

9. aad.passwordResetPolicy Temukan properti dan ganti dengan nama kebijakan atur ulang alur pengguna kata sandi yang Anda buat di penyewa Azure AD B2C tempat Anda membuat ms-identity-b2c-java-servlet-webapp-authentication aplikasi di portal Azure.

10. aad.editProfilePolicy Temukan properti dan ganti dengan nama kebijakan edit alur pengguna profil yang Anda buat di penyewa Azure AD B2C tempat Anda membuat ms-identity-b2c-java-servlet-webapp-authentication aplikasi di portal Azure.

Susun sampel

Untuk membuat sampel menggunakan Maven, navigasikan ke direktori yang berisi file pom.xml untuk sampel, lalu jalankan perintah berikut:

mvn clean package

Perintah ini menghasilkan file .war yang dapat Anda jalankan di berbagai server aplikasi.

Jalankan sampel

Menyebarkan ke Azure App Service

Bagian berikut menunjukkan kepada Anda cara menyebarkan sampel ke Azure App Service.

Prasyarat

• Maven Plugin untuk aplikasi Azure App Service

  Jika Maven bukan alat pengembangan pilihan Anda, lihat tutorial serupa berikut yang menggunakan alat lain:

  • IntelliJ IDEA
  • Eclipse
  • Visual Studio Code

Mengonfigurasikan plugin Maven

Proses penyebaran ke Azure App Service menggunakan kredensial Azure Anda dari Azure CLI secara otomatis. Jika Azure CLI tidak diinstal secara lokal, maka plugin Maven mengautentikasi dengan OAuth atau masuk perangkat. Untuk informasi selengkapnya, lihat autentikasi dengan plugin Maven.

Gunakan langkah-langkah berikut untuk mengonfigurasi plugin:

1. Jalankan perintah Maven yang ditampilkan di samping untuk mengonfigurasi penyebaran. Perintah ini membantu Anda menyiapkan sistem operasi App Service, versi Java, dan versi Tomcat.

   mvn com.microsoft.azure:azure-webapp-maven-plugin:2.12.0:config
   

2. Untuk Buat konfigurasi eksekusi baru, tekan Y, lalu tekan Enter.

3. Untuk Tentukan nilai untuk OS, tekan 2 untuk Linux, lalu tekan Enter.

4. Untuk Tentukan nilai untuk javaVersion, tekan 2 untuk Java 11, lalu tekan Enter.

5. Untuk Tentukan nilai untuk webContainer, tekan 1 untuk JBosseap7, lalu tekan Enter.

6. Untuk Tentukan nilai untuk pricingTier, tekan Enter untuk memilih tingkat P1v3 default.

7. Untuk Konfirmasi, tekan Y, lalu tekan Enter.

Contoh berikut menunjukkan output proses penyebaran:

Please confirm webapp properties
AppName : msal4j-servlet-auth-1707220080695
ResourceGroup : msal4j-servlet-auth-1707220080695-rg
Region : centralus
PricingTier : P1v3
OS : Linux
Java Version: Java 11
Web server stack: JBosseap 7
Deploy to slot : false
Confirm (Y/N) [Y]:
[INFO] Saving configuration to pom.
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  26.196 s
[INFO] Finished at: 2024-02-06T11:48:16Z
[INFO] ------------------------------------------------------------------------

Setelah mengonfirmasi pilihan Anda, plugin menambahkan konfigurasi plugin dan pengaturan yang diperlukan ke file pom.xml proyek Anda untuk mengonfigurasi aplikasi Anda agar berjalan di Azure App Service.

Bagian yang relevan dari file pom.xml akan terlihat mirip dengan contoh berikut:

<build>
    <plugins>
        <plugin>
            <groupId>com.microsoft.azure</groupId>
            <artifactId>>azure-webapp-maven-plugin</artifactId>
            <version>x.xx.x</version>
            <configuration>
                <schemaVersion>v2</schemaVersion>
                <resourceGroup>your-resourcegroup-name</resourceGroup>
                <appName>your-app-name</appName>
            ...
            </configuration>
        </plugin>
    </plugins>
</build>

Anda dapat mengubah konfigurasi untuk App Service langsung di pom.xml Anda. Beberapa konfigurasi umum tercantum dalam tabel berikut:

Properti	Wajib	Deskripsi	Versi
schemaVersion	salah	Versi skema konfigurasi. Nilai yang didukung adalah v1 dan v2.	1.5.2
subscriptionId	salah	ID langganan.	0.1.0+
resourceGroup	benar	Grup sumber daya Azure untuk aplikasi Anda.	0.1.0+
appName	benar	Nama aplikasi Anda.	0.1.0+
region	salah	Wilayah tempat menghosting aplikasi Anda. Nilai defaultnya adalah centralus. Untuk wilayah yang valid, lihat Wilayah yang Didukung.	0.1.0+
pricingTier	salah	Tingkat harga untuk aplikasi Anda. Nilai defaultnya adalah P1v2 untuk beban kerja produksi. Nilai minimum yang direkomendasikan untuk pengembangan dan pengujian Java adalah B2. Untuk informasi selengkapnya, lihat Harga Layanan Aplikasi	0.1.0+
runtime	salah	Konfigurasi lingkungan waktu proses. Untuk informasi lebih lanjut, lihat Rincian Konfigurasi.	0.1.0+
deployment	salah	Konfigurasi penyebaran. Untuk informasi lebih lanjut, lihat Rincian Konfigurasi.	0.1.0+

Untuk daftar lengkap konfigurasi, lihat dokumentasi referensi plugin. Semua plugin Azure Maven berbagi serangkaian konfigurasi umum. Untuk konfigurasi ini, lihat Konfigurasi Umum. Untuk konfigurasi khusus untuk Azure App Service, lihat Aplikasi Azure: Detail Konfigurasi.

Pastikan untuk menyimpan selain appName nilai dan resourceGroup untuk digunakan nanti.

Menyiapkan aplikasi untuk penyebaran

Saat Anda menyebarkan aplikasi ke App Service, URL pengalihan Anda berubah ke URL pengalihan instans aplikasi yang Anda sebarkan. Gunakan langkah-langkah berikut untuk mengubah pengaturan ini di file properti Anda:

1. Navigasikan ke file authentication.properties aplikasi Anda dan ubah nilai app.homePage ke nama domain aplikasi yang Anda sebarkan, seperti yang ditunjukkan dalam contoh berikut. Misalnya, jika Anda memilih example-domain nama aplikasi di langkah sebelumnya, Anda sekarang harus menggunakan https://example-domain.azurewebsites.net untuk nilai tersebut app.homePage . Pastikan Anda juga telah mengubah protokol dari http ke https.

   # app.homePage is by default set to dev server address and app context path on the server
   # for apps deployed to azure, use https://your-sub-domain.azurewebsites.net
   app.homePage=https://<your-app-name>.azurewebsites.net
   

2. Setelah menyimpan file ini, gunakan perintah berikut untuk membangun kembali aplikasi Anda:

   mvn clean package
   

Penting

Dalam file authentication.properties yang sama ini, Anda memiliki pengaturan untuk .aad.secret Ini bukan praktik yang baik untuk menyebarkan nilai ini ke App Service. Tidak ada baiknya untuk meninggalkan nilai ini dalam kode Anda dan berpotensi mendorongnya ke repositori git Anda. Untuk menghapus nilai rahasia ini dari kode Anda, Anda dapat menemukan panduan yang lebih rinci di bagian Sebarkan ke App Service - Hapus rahasia . Panduan ini menambahkan langkah tambahan untuk mendorong nilai rahasia ke Key Vault dan menggunakan Referensi Key Vault.

Memperbarui pendaftaran aplikasi ID Microsoft Entra Anda

Karena URI pengalihan berubah ke aplikasi yang disebarkan ke Azure App Service, Anda juga perlu mengubah URI pengalihan di pendaftaran aplikasi ID Microsoft Entra Anda. Gunakan langkah-langkah berikut untuk membuat perubahan ini:

1. Navigasikan ke halaman platform identitas Microsoft untuk pengembang Pendaftaran aplikasi.

2. Gunakan kotak pencarian untuk mencari pendaftaran aplikasi Anda - misalnya, java-servlet-webapp-authentication.

3. Buka pendaftaran aplikasi Anda dengan memilih namanya.

4. Pilih Autentikasi dari menu.

5. Di bagian URI Pengalihan Web - , pilih Tambahkan URI.

6. Isi URI aplikasi Anda, tambahkan /auth/redirect - misalnya, https://<your-app-name>.azurewebsites.net/auth/redirect.

7. Pilih Simpan.

Menyebarkan aplikasi

Anda sekarang siap untuk menyebarkan aplikasi Anda ke Azure App Service. Gunakan perintah berikut untuk memastikan Anda masuk ke lingkungan Azure Anda untuk menjalankan penyebaran:

az login

Dengan semua konfigurasi yang siap di file pom.xml , Anda sekarang dapat menggunakan perintah berikut untuk menyebarkan aplikasi Java Anda ke Azure:

mvn package azure-webapp:deploy

Setelah penyebaran selesai, aplikasi Anda siap di http://<your-app-name>.azurewebsites.net/. Buka URL dengan browser web lokal Anda, di mana Anda akan melihat halaman msal4j-servlet-auth awal aplikasi.

Jalankan secara lokal

Sebelum Anda dapat menyebarkan ke JBoss, gunakan langkah-langkah berikut untuk membuat beberapa perubahan konfigurasi dalam sampel itu sendiri, lalu membangun atau membangun kembali paket:

1. Dalam sampel, temukan file application.properties atau authentication.properties tempat Anda mengonfigurasi ID klien, penyewa, URL pengalihan, dan sebagainya.

2. Dalam file ini, ubah referensi ke localhost:8080 atau localhost:8443 ke URL dan port tempat JBoss berjalan, yang secara default harus .localhost:9990

3. Anda juga perlu membuat perubahan yang sama dalam pendaftaran aplikasi Azure, di mana Anda mengaturnya di portal Azure sebagai nilai URI Pengalihan pada tab Autentikasi.

Gunakan langkah-langkah berikut untuk menyebarkan sampel ke JBoss EAP melalui konsol web:

1. Mulai server JBoss dengan %JBOSS_HOME%\bin\standalone.bat.

2. Navigasi ke konsol web JBoss di browser Anda di http://localhost:9990.

3. Buka Penyebaran, pilih Tambahkan, lalu unggah .war yang Anda buat.

4. Sebagian besar pengaturan default harus baik-baik saja kecuali Anda harus memberi nama aplikasi agar sesuai dengan URI pengalihan yang Anda tetapkan dalam konfigurasi sampel atau pendaftaran aplikasi Azure. Artinya, jika URI pengalihan adalah http://localhost:9990/msal4j-servlet-auth/, maka Anda harus memberi nama aplikasi msal4j-servlet-auth.

5. Pilih file .war yang Anda unggah, pilih En/Disable dan Konfirmasi untuk memulai aplikasi.

6. Setelah aplikasi dimulai, navigasikan ke http://localhost:9990/<application-name>/, dan Anda harus dapat mengakses aplikasi.

Menjelajahi sampel

Gunakan langkah-langkah berikut untuk menjelajahi sampel:

1. Perhatikan status masuk atau keluar yang ditampilkan di tengah layar.
2. Pilih tombol peka konteks di sudut. Tombol ini membaca Masuk saat Anda pertama kali menjalankan aplikasi.
3. Pada halaman berikutnya, ikuti instruksi dan masuk dengan akun penyedia identitas pilihan Anda.
4. Perhatikan bahwa tombol peka konteks sekarang mengatakan Keluar dan menampilkan nama pengguna Anda.
5. Pilih Detail Token ID untuk melihat beberapa klaim token ID yang didekodekan.
6. Anda juga memiliki opsi untuk mengedit profil Anda. Pilih tautan untuk mengedit detail seperti nama tampilan, tempat tinggal, dan profesi Anda.
7. Gunakan tombol di sudut untuk keluar.
8. Setelah keluar, navigasikan ke URL berikut untuk halaman detail token: http://localhost:8080/ms-identity-b2c-java-servlet-webapp-authentication/auth_token_details. Di sini, Anda dapat mengamati bagaimana aplikasi menampilkan 401: unauthorized kesalahan alih-alih klaim token ID.

Tentang kode

Sampel ini menunjukkan cara menggunakan MSAL4J untuk memasukkan pengguna ke penyewa Azure AD B2C Anda.

Konten

Tabel berikut ini memperlihatkan konten folder proyek sampel:

File/folder	Deskripsi
AuthHelper.java	Fungsi pembantu untuk autentikasi.
Config.java	Berjalan pada startup dan mengonfigurasi pembaca dan pencatat properti.
authentication.properties	ID Microsoft Entra dan konfigurasi program.
AuthenticationFilter.java	Mengalihkan permintaan yang tidak diautentikasi ke sumber daya yang dilindungi ke halaman 401.
MsalAuthSession	Dibuat dengan HttpSession. Menyimpan semua atribut sesi terkait MSAL dalam atribut sesi.
*Servlet.java	Semua titik akhir yang tersedia ditentukan dalam kelas Java dengan nama yang berakhiran Servlet..
CHANGELOG.md	Daftar perubahan pada sampel.
CONTRIBUTING.md	Panduan untuk berkontribusi pada sampel.
LISENSI	Lisensi untuk sampel.

ConfidentialClientApplication

ConfidentialClientApplication Instans dibuat dalam file AuthHelper.java, seperti yang ditunjukkan dalam contoh berikut. Objek ini membantu membuat URL otorisasi Azure AD B2C dan juga membantu menukar token autentikasi dengan token akses.

IClientSecret secret = ClientCredentialFactory.createFromSecret(SECRET);
confClientInstance = ConfidentialClientApplication
                     .builder(CLIENT_ID, secret)
                     .b2cAuthority(AUTHORITY + policy)
                     .build();

Parameter berikut digunakan untuk instans:

• ID Klien aplikasi.
• Rahasia klien, yang merupakan persyaratan untuk Aplikasi Klien Rahasia.
• Otoritas Azure AD B2C menggabungkan dengan yang sesuai UserFlowPolicy untuk pendaftaran, masuk, edit profil, atau pengaturan ulang kata sandi.

Dalam sampel ini, nilai-nilai ini dibaca dari file authentication.properties menggunakan pembaca properti dalam file Config.java .

Panduan langkah demi langkah

Langkah-langkah berikut menyediakan panduan fungsionalitas aplikasi:

1. Langkah pertama dari proses masuk adalah mengirim permintaan ke /authorize titik akhir untuk penyewa Azure Active Directory B2C Anda. Instans MSAL4J ConfidentialClientApplication digunakan untuk membuat URL permintaan otorisasi, dan aplikasi mengalihkan browser ke URL ini, seperti yang ditunjukkan dalam contoh berikut:

   final ConfidentialClientApplication client = getConfidentialClientInstance(policy);
   final AuthorizationRequestUrlParameters parameters = AuthorizationRequestUrlParameters
       .builder(REDIRECT_URI, Collections.singleton(SCOPES)).responseMode(ResponseMode.QUERY)
       .prompt(Prompt.SELECT_ACCOUNT).state(state).nonce(nonce).build();
   
   final String redirectUrl = client.getAuthorizationRequestUrl(parameters).toString();
   Config.logger.log(Level.INFO, "Redirecting user to {0}", redirectUrl);
   resp.setStatus(302);
   resp.sendRedirect(redirectUrl);
   

   Daftar berikut menjelaskan fitur kode ini:

   • AuthorizationRequestUrlParameters: Parameter yang harus diatur untuk membangun AuthorizationRequestUrl.

   • REDIRECT_URI: Di mana Azure AD B2C mengalihkan browser - bersama dengan kode autentikasi - setelah mengumpulkan kredensial pengguna.

   • SCOPES: Cakupan adalah izin yang diminta oleh aplikasi.

     Biasanya, tiga cakupan openid profile offline_access sudah cukup untuk menerima respons token ID. Namun, MSAL4J memerlukan semua respons dari Azure AD B2C untuk juga berisi token akses.

     Agar Azure AD B2C mengeluarkan token akses serta token ID, permintaan harus menyertakan cakupan sumber daya tambahan. Karena aplikasi ini sebenarnya tidak memerlukan cakupan sumber daya eksternal, aplikasi ini menambahkan ID kliennya sendiri sebagai cakupan keempat untuk menerima token akses.

     Anda dapat menemukan daftar lengkap cakupan yang diminta oleh aplikasi dalam file authentication.properties .

   • ResponseMode.QUERY: Azure AD B2C dapat mengembalikan respons sebagai param formulir dalam permintaan HTTP POST atau sebagai param string kueri dalam permintaan HTTP GET.

   • Prompt.SELECT_ACCOUNT: Azure AD B2C harus meminta pengguna untuk memilih akun yang ingin mereka autentikasi.

   • state: Variabel unik yang ditetapkan oleh aplikasi ke dalam sesi pada setiap permintaan token dan dihancurkan setelah menerima panggilan balik pengalihan Azure AD B2C yang sesuai. Variabel status memastikan bahwa permintaan Azure AD B2C ke /auth_redirect endpoint sebenarnya berasal dari permintaan otorisasi Azure AD B2C yang berasal dari aplikasi ini dan sesi ini, sehingga mencegah serangan CSRF. Ini dilakukan dalam file AADRedirectServlet.java .

   • nonce: Variabel unik yang ditetapkan oleh aplikasi ke dalam sesi pada setiap permintaan token, dan dihancurkan setelah menerima token yang sesuai. Nonce ini ditranskripsikan ke token yang dihasilkan dispensasi Azure AD B2C, sehingga memastikan bahwa tidak ada serangan pemutaran ulang token yang terjadi.

2. Pengguna disajikan dengan perintah masuk oleh Azure Active Directory B2C. Jika upaya masuk berhasil, browser pengguna dialihkan ke titik akhir pengalihan aplikasi. Permintaan yang valid ke titik akhir ini berisi kode otorisasi.

3. Instans ConfidentialClientApplication kemudian menukar kode otorisasi ini dengan token ID dan token akses dari Azure Active Directory B2C, seperti yang ditunjukkan dalam contoh berikut:

   final AuthorizationCodeParameters authParams = AuthorizationCodeParameters
                       .builder(authCode, new URI(REDIRECT_URI))
                       .scopes(Collections.singleton(SCOPES)).build();
   
   final ConfidentialClientApplication client = AuthHelper
           .getConfidentialClientInstance(policy);
   final Future<IAuthenticationResult> future = client.acquireToken(authParams);
   final IAuthenticationResult result = future.get();
   

   Daftar berikut menjelaskan fitur kode ini:

   • AuthorizationCodeParameters: Parameter yang harus diatur untuk menukar Kode Otorisasi dengan ID dan/atau token akses.
   • authCode: Kode otorisasi yang diterima di titik akhir pengalihan.
   • REDIRECT_URI: URI pengalihan yang digunakan pada langkah sebelumnya harus diteruskan lagi.
   • SCOPES: Cakupan yang digunakan pada langkah sebelumnya harus diteruskan lagi.

4. Jika acquireToken berhasil, klaim token diekstrak dan klaim nonce divalidasi terhadap nonce yang disimpan dalam sesi, seperti yang ditunjukkan dalam contoh berikut:

   parseJWTClaimsSetAndStoreResultInSession(msalAuth, result, serializedTokenCache);
   validateNonce(msalAuth)
   processSuccessfulAuthentication(msalAuth);
   

5. Jika nonce berhasil divalidasi, status autentikasi dimasukkan ke dalam sesi sisi server, memanfaatkan metode yang diekspos oleh MsalAuthSession kelas, seperti yang ditunjukkan dalam contoh berikut:

   msalAuth.setAuthenticated(true);
   msalAuth.setUsername(msalAuth.getIdTokenClaims().get("name"));
   

Informasi selengkapnya

• Apa itu Azure Active Directory B2C?
• Jenis aplikasi yang dapat digunakan di Active Directory B2C
• Rekomendasi dan praktik terbaik untuk Azure Active Directory B2C
• Sesi Azure AD B2C
• Microsoft Authentication Library (MSAL) untuk Java

Untuk informasi selengkapnya tentang cara kerja protokol OAuth 2.0 dalam skenario ini dan skenario lainnya, lihat Skenario Autentikasi untuk ID Microsoft Entra.