使用 Microsoft Entra ID 为 Java WebLogic 应用启用登录
本文演示了一个 Java WebLogic 应用,该应用使用 适用于 Java 的 Microsoft 身份验证库(MSAL)将用户登录到 Microsoft Entra ID 租户。
下图显示了应用的拓扑:
客户端应用使用 MSAL for Java(MSAL4J)将用户登录到自己的Microsoft Entra ID 租户,并从 Microsoft Entra ID 获取 ID 令牌 。 ID 令牌证明用户已通过此租户进行身份验证。 应用根据用户的身份验证状态保护其路由。
先决条件
- JDK 版本 8 或更高版本
- Maven 3
- Microsoft Entra ID 租户。 有关详细信息,请参阅 如何获取Microsoft Entra ID 租户。
- 如果只想在组织目录中使用帐户(即在单租户模式下)使用自己的Microsoft Entra ID 租户中的用户帐户。 如果尚未在 Microsoft Entra ID 租户中创建用户帐户,则应在继续操作之前执行此操作。 有关详细信息,请参阅 如何创建、邀请和删除用户。
- 如果要在任何组织目录中使用帐户(即多租户模式)中的帐户,则任何组织的 Microsoft Entra ID 租户中的用户帐户。 必须修改此示例才能使用个人Microsoft帐户。 如果尚未在 Microsoft Entra ID 租户中创建用户帐户,则应在继续操作之前执行此操作。 有关详细信息,请参阅 如何创建、邀请和删除用户。
- 若要使用个人Microsoft帐户(例如 Xbox、Hotmail、Live 等)个人Microsoft帐户。
建议
- 一些熟悉 Java/Jakarta Servlets。
- 一些熟悉 Linux/OSX 终端或 Windows PowerShell。
- 用于检查令牌的 jwt.ms。
- 用于监视网络活动和故障排除的 Fiddler 。
- 按照 Microsoft Entra ID 博客了解最新开发的最新动态。
设置示例
以下部分演示如何设置示例应用程序。
克隆或下载示例存储库
若要克隆示例,请打开 Bash 窗口并使用以下命令:
git clone https://github.com/Azure-Samples/ms-identity-msal-java-samples.git
cd 3-java-servlet-web-app/1-Authentication/sign-in
或者,导航到 ms-identity-msal-java-samples 存储库,然后将其下载为 .zip 文件并将其提取到硬盘驱动器。
重要
若要避免 Windows 上的文件路径长度限制,请将存储库克隆或提取到硬盘驱动器根附近的目录中。
将示例应用程序注册到 Microsoft Entra ID 租户
此示例中有一个项目。 本部分介绍如何注册应用。
首先,按照快速入门中的说明在Azure 门户中注册应用:将应用程序注册到Microsoft 标识平台。
然后,使用以下步骤完成注册:
导航到面向开发人员的 Microsoft 标识平台应用注册页。
选择“新注册”。
在 显示的“注册应用程序”页 中,输入以下应用程序注册信息:
在“ 名称 ”部分中,输入一个有意义的应用程序名称,以便向应用的用户显示,例如
java-servlet-webapp-authentication
。在 “支持的帐户类型”下,选择以下选项之一:
- 仅当正在生成应用程序以供租户中的用户(即单租户应用程序)使用时,才选择此组织目录中的帐户。
- 如果希望任何Microsoft Entra ID 租户中的用户能够使用应用程序(即多租户应用程序),请选择任何组织目录中的帐户。
- 为最广泛的客户选择任何组织目录中的帐户和个人Microsoft帐户,即支持Microsoft 个人帐户的多租户应用程序。
- 选择 个人Microsoft帐户 ,仅供个人Microsoft帐户(例如 Hotmail、Live、Skype 和 Xbox 帐户)的用户使用。
在“重定向 URI”部分中,在组合框中选择“Web”,并输入以下重定向 URI:
http://localhost:8080/msal4j-servlet-auth/auth/redirect
选择“注册”以创建应用程序。
在应用的注册页上,查找并复制 应用程序(客户端)ID 值以供以后使用。 在应用的配置文件或文件中使用此值。
在应用的注册页上,选择 导航窗格中的“证书和机密 ”以打开页面以生成机密并上传证书。
在“客户端密码”部分中,选择“新建客户端密码” 。
键入说明 - 例如应用 机密。
选择可用持续时间之一: 1 年、 2 年内或 永不过期。
选择 添加 。 将显示生成的值。
复制并保存生成的值,以便在后续步骤中使用。 代码的配置文件需要此值。 此值不会再次显示,不能通过任何其他方式检索该值。 因此,在导航到任何其他屏幕或窗格之前,请务必将其从Azure 门户保存。
将应用配置为使用应用注册
使用以下步骤配置应用:
注意
在以下步骤中, ClientID
与 Application ID
或 AppId
相同。
在 IDE 中打开项目。
打开 ./src/main/resources/authentication.properties 文件。
找到字符串
{enter-your-tenant-id-here}
。 将现有值替换为以下值之一:- 如果将应用注册到此组织目录中的 “帐户 ”选项,则Microsoft Entra ID 租户 ID。
- 如果将应用注册到任何组织目录选项中的“帐户”,则为该单词
organizations
。 common
如果将应用注册到任何组织目录中的帐户和个人Microsoft帐户选项中。- 如果将应用注册到个人Microsoft帐户选项,则为该单词
consumers
。
找到字符串
{enter-your-client-id-here}
,并将现有值替换为从Azure 门户复制的应用程序 ID 或clientId
java-servlet-webapp-authentication
应用程序。找到字符串
{enter-your-client-secret-here}
,并将现有值替换为在创建java-servlet-webapp-authentication
应用期间保存的值(在Azure 门户中)。
生成示例
若要使用 Maven 生成示例,请导航到包含 示例pom.xml 文件的目录,然后运行以下命令:
mvn clean package
此命令生成可在 各种应用程序服务器上运行的 .war 文件。
部署示例
这些说明假定你已安装 WebLogic 并设置一些服务器域。
在部署到 WebLogic 之前,请使用以下步骤在示例本身中进行一些配置更改,然后生成或重新生成包:
在示例中,找到 配置客户端 ID、租户、重定向 URL 等的 application.properties 或 authentication.properties 文件。
在此文件中,更改对 WebLogic 运行时的 URL 和端口的引用
localhost:8080
,localhost:8443
默认情况下,该 URL 和端口应localhost:7001
为 。还需要在 Azure 应用注册中进行更改,在Azure 门户中将其设置为“身份验证”选项卡上的“重定向 URI”值。
使用以下步骤通过 Web 控制台将示例部署到 WebLogic:
使用 DOMAIN_NAME\bin\startWebLogic.cmd 启动 WebLogic 服务器。
在浏览器中
http://localhost:7001/console
导航到 WebLogic Web 控制台。转到“域结构>部署”,选择“安装”,选择“上传文件”,然后找到使用 Maven 生成的 .war 文件。
选择“将此部署安装为应用程序”,选择“ 下一步”,选择“ 完成”,然后选择“ 保存”。
大多数默认设置都应正常,只是应将应用程序命名为与示例配置或 Azure 应用注册中设置的重定向 URI 匹配。 也就是说,如果重定向 URI 为
http://localhost:7001/msal4j-servlet-auth
,则应将应用程序msal4j-servlet-auth
命名。返回到域结构>部署,然后启动应用程序。
应用程序启动后,导航到
http://localhost:7001/<application-name>/
,应该能够访问该应用程序。
探索示例
使用以下步骤浏览示例:
- 请注意屏幕中心显示的已登录或注销状态。
- 选择角落中的上下文敏感按钮。 首次运行应用时,此按钮将 读取登录 。
- 在下一页上,按照说明使用 Microsoft Entra ID 租户中的帐户登录。
- 在同意屏幕上,请注意请求的范围。
- 请注意,上下文敏感按钮现在显示 “注销 ”并显示用户名。
- 选择 ID 令牌详细信息 以查看某些 ID 令牌的解码声明。
- 使用角落中的按钮注销。
- 注销后,选择 “ID 令牌详细信息 ”,观察应用在未授权用户时显示
401: unauthorized
错误而不是 ID 令牌声明。
关于代码
此示例演示如何使用 MSAL for Java(MSAL4J)将用户登录到 Microsoft Entra ID 租户。 如果要在自己的应用程序中使用 MSAL4J,则必须使用 Maven 将其添加到项目中。
如果要复制此示例的行为,可以复制 src/main/java/com/microsoft/azuresamples/msal4j 文件夹中的 pom.xml文件和 authservlet 文件夹的内容。 还需要 authentication.properties 文件。 这些类和文件包含可在各种应用程序中使用的通用代码。 也可以复制示例的其余部分,但会专门生成其他类和文件来解决此示例的目标。
目录
下表显示了示例项目文件夹的内容:
文件/文件夹 | 说明 |
---|---|
src/main/java/com/microsoft/azuresamples/msal4j/authwebapp/ | 此目录包含定义应用的后端业务逻辑的类。 |
src/main/java/com/microsoft/azuresamples/msal4j/authservlets/ | 此目录包含用于登录和注销终结点的类。 |
____Servlet.java | 所有可用的终结点在以 ____Servlet.java 结尾的.java类中定义。 |
src/main/java/com/microsoft/azuresamples/msal4j/helpers/ | 用于身份验证的帮助程序类。 |
AuthenticationFilter.java | 将未经身份验证的请求重定向到受保护的终结点到 401 页。 |
src/main/resources/authentication.properties | Microsoft Entra ID 和程序配置。 |
src/main/webapp/ | 此目录包含 UI - JSP 模板 |
CHANGELOG.md | 示例更改列表。 |
CONTRIBUTING.md | 参与示例的指南。 |
许可证 | 示例的许可证。 |
ConfidentialClientApplication
ConfidentialClientApplication
实例在AuthHelper.java文件中创建,如以下示例所示。 此对象有助于创建Microsoft Entra ID 授权 URL,并有助于交换访问令牌的身份验证令牌。
// getConfidentialClientInstance method
IClientSecret secret = ClientCredentialFactory.createFromSecret(SECRET);
confClientInstance = ConfidentialClientApplication
.builder(CLIENT_ID, secret)
.authority(AUTHORITY)
.build();
以下参数用于实例化:
- 应用的客户端 ID。
- 客户端机密,这是机密客户端应用程序的要求。
- Microsoft Entra ID 颁发机构,其中包括Microsoft Entra ID 租户 ID。
在此示例中,使用 Config.java 文件中的属性读取器从 authentication.properties 文件中读取这些值。
分步演练
以下步骤提供应用的功能的演练:
登录过程的第一步是向Microsoft Entra ID 租户的终结点发送请求
/authorize
。 MSAL4JConfidentialClientApplication
实例用于构造授权请求 URL。 应用将浏览器重定向到此 URL,这是用户登录的位置。final ConfidentialClientApplication client = getConfidentialClientInstance(); AuthorizationRequestUrlParameters parameters = AuthorizationRequestUrlParameters.builder(Config.REDIRECT_URI, Collections.singleton(Config.SCOPES)) .responseMode(ResponseMode.QUERY).prompt(Prompt.SELECT_ACCOUNT).state(state).nonce(nonce).build(); final String authorizeUrl = client.getAuthorizationRequestUrl(parameters).toString(); contextAdapter.redirectUser(authorizeUrl);
以下列表描述了此代码的功能:
AuthorizationRequestUrlParameters
:必须设置的参数才能生成 AuthorizationRequestUrl。REDIRECT_URI
:收集用户凭据后,Microsoft Entra ID 将重定向浏览器以及身份验证代码。 它必须与Azure 门户中Microsoft Entra ID 应用注册中的重定向 URI 匹配。SCOPES
: 范围 是应用程序请求的权限。 通常,这三个范围openid profile offline_access
足以接收 ID 令牌响应。可以在 authentication.properties 文件中找到应用请求的范围的完整列表。 可以添加更多范围,例如
User.Read
。
Microsoft Entra ID 将会向用户显示登录提示。 如果登录尝试成功,则用户的浏览器将重定向到应用的重定向终结点。 对此终结点的有效请求包含 授权代码。
然后,该
ConfidentialClientApplication
实例将此授权代码交换Microsoft Entra ID 中的 ID 令牌和访问令牌。// First, validate the state, then parse any error codes in response, then extract the authCode. Then: // build the auth code params: final AuthorizationCodeParameters authParams = AuthorizationCodeParameters .builder(authCode, new URI(Config.REDIRECT_URI)).scopes(Collections.singleton(Config.SCOPES)).build(); // Get a client instance and leverage it to acquire the token: final ConfidentialClientApplication client = AuthHelper.getConfidentialClientInstance(); final IAuthenticationResult result = client.acquireToken(authParams).get();
以下列表描述了此代码的功能:
AuthorizationCodeParameters
:必须设置的参数,才能交换 ID 和/或访问令牌的授权代码。authCode
:在重定向终结点收到的授权代码。REDIRECT_URI
:上一步中使用的重定向 URI 必须再次传递。SCOPES
:上一步中使用的范围必须再次传递。
如果
acquireToken
成功,则提取令牌声明。 如果 nonce 检查通过,则结果将置于context
-- 实例IdentityContextData
中,并保存到会话中。 然后,应用程序可以通过需要访问会话的实例IdentityContextAdapterServlet
来实例IdentityContextData
化会话,如以下代码所示:// parse IdToken claims from the IAuthenticationResult: // (the next step - validateNonce - requires parsed claims) context.setIdTokenClaims(result.idToken()); // if nonce is invalid, stop immediately! this could be a token replay! // if validation fails, throws exception and cancels auth: validateNonce(context); // set user to authenticated: context.setAuthResult(result, client.tokenCache().serialize());
保护路由
有关示例应用如何筛选路由访问权限的信息,请参阅 AuthenticationFilter.java。 在 authentication.properties 文件中,该 app.protect.authenticated
属性包含仅经过身份验证的用户可以访问的逗号分隔路由,如以下示例所示:
# for example, /token_details requires any user to be signed in and does not require special roles claim(s)
app.protect.authenticated=/token_details
作用域
范围告知Microsoft Entra ID 应用程序请求的访问级别。
根据请求的范围,Microsoft Entra ID 在登录时向用户显示同意对话。 如果用户同意一个或多个范围并获取令牌,则 scopes-consented-to 编码为结果 access_token
。
有关应用程序请求的范围,请参阅 authentication.properties。 这三个范围由 MSAL 请求,默认情况下由 Microsoft Entra ID 提供。
详细信息
- 适用于 Java 的 Microsoft 身份验证库 (MSAL)
- MSAL Java 参考文档
- Microsoft 标识平台(面向开发人员的 Microsoft Entra ID)
- 快速入门:将应用程序注册到 Microsoft 标识平台
- 了解 Microsoft Entra ID 应用程序许可体验
- 了解用户同意和管理员同意
- MSAL 代码示例
下一步
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈