使用角色和角色声明保护 Java Spring Boot 应用
本文演示了一个 Java Spring Boot Web 应用,该应用使用适用于 Java 的 Microsoft Entra ID Spring Boot Starter 客户端库进行身份验证、授权和令牌获取。 应用使用 OpenID Connect 协议登录用户,并使用 Microsoft Entra ID 应用程序角色(应用角色)来限制对某些路由的访问,以便授权。
应用角色以及安全组是实现授权的常用方法。 将基于角色的访问控制(RBAC)与应用程序角色和角色声明结合使用,可以尽可能少地强制实施授权策略。 另一种方法是使用Microsoft Entra ID 组和组声明。 Microsoft Entra ID 组和应用程序角色不相互排斥。 可以使用它们来提供精细的访问控制。
有关涵盖类似方案的视频,请参阅 使用应用角色、安全组、范围和目录角色在应用程序中实现授权。
有关此方案和其他方案中协议的工作原理的详细信息,请参阅 身份验证与授权。
下图显示了应用的拓扑:
该应用使用适用于 Java 的 Microsoft Entra ID Spring Boot Starter 客户端库登录用户并从 Microsoft Entra ID 获取 ID 令牌 。 ID 令牌包含角色声明。 应用程序检查此声明的值,以确定用户有权访问的页面。
这种授权是使用 RBAC 实现的。 使用 RBAC,管理员向角色授予权限,而不是授予单个用户或组的权限。 然后,管理员可以将角色分配给不同的用户和组,以控制谁有权访问特定内容和功能。
此示例应用程序定义了以下两 个应用程序角色:
PrivilegedAdmin:有权访问 “仅限 管理员”和“ 常规用户” 页面。RegularUser:有权访问 “常规用户 ”页。
这些应用程序角色在 Azure 门户的应用程序注册清单中定义。 当用户登录到应用程序时,Microsoft Entra ID 会以角色成员身份向用户单独授予的每个角色发出角色声明。
可以通过Azure 门户或以编程方式使用 Microsoft Graph 和 Microsoft Azure AD PowerShell 将用户和组分配到角色。 本文介绍这两种技术。
注意
如果 https://login.microsoftonline.com/common/ 终结点用作登录用户的授权,则租户中的来宾用户不存在角色声明。 需要将用户登录到租户终结点,例如 https://login.microsoftonline.com/tenantid。
先决条件
- JDK 版本 15。 此示例是在 Java 15 系统上开发的,但它可能与其他版本兼容。
- Maven 3
- 建议在 Visual Studio Code 中运行此示例的 Java 扩展包。
- Microsoft Entra ID 租户。 有关详细信息,请参阅 如何获取Microsoft Entra ID 租户。
- Microsoft Entra ID 租户中的用户帐户。 此示例不适用于个人Microsoft帐户。 因此,如果使用个人帐户登录到Azure 门户,并且目录中没有用户帐户,则需要立即创建一个。
- Visual Studio Code
- 用于 Visual Studio Code 的 Azure 工具
建议
- 一些熟悉 Spring Framework
- 一些熟悉 Linux/OSX 终端或 Windows PowerShell
- 用于检查令牌的 jwt.ms。
- 用于监视网络活动和故障排除的 Fiddler 。
- 按照 Microsoft Entra ID 博客了解最新开发的最新动态。
设置示例
以下部分演示如何设置示例应用程序。
克隆或下载示例存储库
若要克隆示例,请打开 Bash 窗口并使用以下命令:
git clone https://github.com/Azure-Samples/ms-identity-msal-java-samples.git
cd 4-spring-web-app/3-Authorization-II/roles
或者,导航到 ms-identity-msal-java-samples 存储库,然后将其下载为 .zip 文件并将其提取到硬盘驱动器。
重要
若要避免 Windows 上的文件路径长度限制,请将存储库克隆或提取到硬盘驱动器根附近的目录中。
将示例应用程序注册到 Microsoft Entra ID 租户
此示例中有一个项目。 以下部分演示如何使用Azure 门户注册应用。
选择要在其中创建应用程序的Microsoft Entra ID 租户
若要选择租户,请使用以下步骤:
登录到 Azure 门户。
如果帐户存在于多个Microsoft Entra ID 租户中,请选择Azure 门户角的配置文件,然后选择“切换目录”,将会话更改为所需的Microsoft Entra ID 租户。
注册应用(java-spring-webapp-roles)
若要注册应用,请使用以下步骤:
导航到Azure 门户并选择Microsoft Entra ID。
在导航窗格中选择 “应用注册 ”,然后选择“ 新建注册”。
在 显示的“注册应用程序”页 中,输入以下应用程序注册信息:
- 在“ 名称 ”部分中,输入一个有意义的应用程序名称,以便向应用的用户显示,例如
java-spring-webapp-roles。 - 在“支持的帐户类型”下,选择“仅此组织目录中的帐户” 。
- 在“重定向 URI”(可选)部分中,在组合框中选择“Web”,然后输入以下重定向 URI:
http://localhost:8080/login/oauth2/code/
- 在“ 名称 ”部分中,输入一个有意义的应用程序名称,以便向应用的用户显示,例如
选择“注册”以创建应用程序。
在应用的注册页上,查找并复制 应用程序(客户端)ID 值以供以后使用。 在应用的配置文件或文件中使用此值。
在应用的注册页上,选择 导航窗格中的“证书和机密 ”,打开可以生成机密并上传证书的页面。
在“客户端密码”部分中,选择“新建客户端密码” 。
键入说明 - 例如应用 机密。
选择可用持续时间之一: 1 年、 2 年内或 永不过期。
选择 添加 。 将显示生成的值。
复制并保存生成的值,以便在后续步骤中使用。 代码的配置文件需要此值。 此值不会再次显示,不能通过任何其他方式检索该值。 因此,在导航到任何其他屏幕或窗格之前,请务必将其从Azure 门户保存。
定义应用角色
若要定义应用角色,请使用以下步骤:
仍在相同的应用注册上,选择 导航窗格中的应用角色 。
选择“ 创建应用角色”,然后输入以下值:
- 对于 显示名称,请输入合适的名称 -例如 PrivilegedAdmin。
- 对于 “允许的成员类型”,请选择“ 用户”。
- 对于 值,请输入 PrivilegedAdmin。
- 有关 说明,请输入 可查看管理员页面的 PrivilegedAdmins。
选择“ 创建应用角色”,然后输入以下值:
- 对于 “显示名称”,请输入一个合适的名称, 例如 RegularUser。
- 对于 “允许的成员类型”,请选择“ 用户”。
- 对于 值,请输入 RegularUser。
- 有关 说明,请输入 可以查看用户页的 RegularUsers。
选择“应用”以保存所做的更改。
将用户分配到应用角色
若要将用户添加到前面定义的应用角色,请遵循以下指南: 将用户和组分配到角色。
配置应用(java-spring-webapp-roles)以使用应用注册
使用以下步骤配置应用:
注意
在以下步骤中, ClientID 与 Application ID 或 AppId相同。
在 IDE 中打开项目。
打开 src\main\resources\application.yml 文件。
找到占位符
Enter_Your_Tenant_ID_Here,并将现有值替换为Microsoft Entra 租户 ID。找到占位符
Enter_Your_Client_ID_Here,并将现有值替换为从Azure 门户复制的应用程序 ID 或java-spring-webapp-rolesclientId应用。找到占位符
Enter_Your_Client_Secret_Here,并将现有值替换为在创建java-spring-webapp-roles从Azure 门户复制期间保存的值。打开 src/main/java/com/microsoft/azuresamples/msal4j/msidentityspringbootapplication/Sample.Controller.java 文件。
在此文件中查找对
PrivilegedAdmin应用角色的RegularUser引用。 如有必要,请更改它们以反映你在前面的步骤中选择的应用角色名称。
运行示例
以下部分介绍如何将示例部署到 Azure Spring Apps。
先决条件
如果你是首次在目标订阅中部署 Azure Spring Apps 企业计划实例,请参阅 Azure 市场中的企业计划的要求部分。
适用于 Azure Spring Apps 的 Maven 插件。 如果 Maven 不是首选开发工具,请参阅以下使用其他工具的类似教程:
准备 Spring 项目
使用以下步骤来准备项目:
使用以下 Maven 命令生成项目:
mvn clean package使用以下命令在本地运行示例项目:
mvn spring-boot:run
配置 Maven 插件
在项目的根目录中运行以下命令,使用适用于 Azure Spring Apps 的 Maven 插件配置应用:
mvn com.microsoft.azure:azure-spring-apps-maven-plugin:1.19.0:config
以下列表描述了命令交互:
- OAuth2 登录名:需要根据 OAuth2 协议授权登录到 Azure。
- 选择订阅:选择要在其中创建 Azure Spring Apps 实例的订阅列表编号,该实例默认为列表中的第一个订阅。 如果要使用默认数字,请按 Enter。
- 输入 Azure Spring Apps 名称:输入要创建的 Spring 应用实例的名称。 如果要使用默认名称,请按 Enter。
- 输入资源组名称:输入要在其中创建 Spring 应用实例的资源组的名称。 如果要使用默认名称,请按 Enter。
- Sku:选择要用于 Spring 应用实例的 SKU。 如果要使用默认数字,请按 Enter。
- 输入应用名称(演示):提供应用名称。 如果要使用默认项目项目 ID,请按 Enter。
- 运行时:选择要用于 Spring 应用实例的运行时。 在这种情况下,应使用默认数字,请按 Enter。
- 公开此应用的公共访问权限 (boot-for-azure):按 y。
- 确认保存上述所有配置:按 y。 如果按 n,则配置不会保存在 .pom 文件中。
以下示例显示了部署过程的输出:
Summary of properties:
Subscription id : 12345678-1234-1234-1234-123456789101
Resource group name : rg-ms-identity-spring-boot-webapp
Azure Spring Apps name : cluster-ms-identity-spring-boot-webapp
Runtime Java version : Java 11
Region : eastus
Sku : Standard
App name : ms-identity-spring-boot-webapp
Public access : true
Instance count/max replicas : 1
CPU count : 1
Memory size(GB) : 2
Confirm to save all the above configurations (Y/n):
[INFO] Configurations are saved to: /home/user/ms-identity-msal-java-samples/4-spring-web-app/1-Authentication/sign-in/pom. xml
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 01:57 min
[INFO] Finished at: 2024-02-14T13:50:44Z
[INFO] ------------------------------------------------------------------------
确认选择后,该插件会将所需的插件元素和设置添加到项目的 pom.xml 文件中,以将应用配置为在 Azure Spring Apps 中运行。
pom.xml文件的相关部分应类似于以下示例:
<plugin>
<groupId>com.microsoft.azure</groupId>
<artifactId>azure-spring-apps-maven-plugin</artifactId>
<version>1.19.0</version>
<configuration>
<subscriptionId>12345678-1234-1234-1234-123456789101</subscriptionId>
<resourceGroup>rg-ms-identity-spring-boot-webapp</resourceGroup>
<clusterName>cluster-ms-identity-spring-boot-webapp</clusterName>
<region>eastus</region>
<sku>Standard</sku>
<appName>ms-identity-spring-boot-webapp</appName>
<isPublic>true</isPublic>
<deployment>
<cpu>1</cpu>
<memoryInGB>2</memoryInGB>
<instanceCount>1</instanceCount>
<runtimeVersion>Java 11</runtimeVersion>
<resources>
<resource>
<directory>${project.basedir}/target</directory>
<includes>
<include>*.jar</include>
</includes>
</resource>
</resources>
</deployment>
</configuration>
</plugin>
可以直接在 pom.xml 文件中修改 Azure Spring Apps 的配置。 下表列出了一些常见配置:
| properties | 必选 | 说明 |
|---|---|---|
subscriptionId |
false | 订阅的 ID。 |
resourceGroup |
是 | Azure Spring Apps 实例的 Azure 资源组。 |
clusterName |
是 | Azure Spring Apps 群集名称。 如果使用已部署 Azure Spring Apps 实例的订阅和资源组,也可以使用此现有群集部署到该群集。 |
appName |
是 | Azure Spring Apps 中的应用的名称。 |
region |
false | 要在其中托管 Azure Spring Apps 实例的区域。 默认值为 eastus。 有关有效区域,请参阅 支持的区域。 |
sku |
false | Azure Spring Apps 实例的定价层。 默认值 Basic仅适用于开发和测试环境。 |
runtime |
false | 运行时环境配置。 有关详细信息,请参阅配置详细信息。 |
deployment |
false | 部署配置。 有关详细信息,请参阅配置详细信息。 |
有关配置的完整列表,请参阅插件参考文档。 所有 Azure Maven 插件共享一组常见的配置。 有关这些配置,请参阅 常见配置。 有关特定于 Azure Spring Apps 的配置,请参阅 Azure Spring Apps:配置详细信息。
请务必保存保留这些 clusterName 值, appName 供以后使用。
准备应用进行部署
将应用程序部署到 Azure Spring Apps 时,重定向 URL 将更改为 Azure Spring Apps 中已部署的应用实例的重定向 URL。 使用以下步骤更改application.yml文件中的这些设置:
导航到应用的 src\main\resources\application.yml 文件并更改已部署应用的域名的值
post-logout-redirect-uri,如以下示例所示。 例如,如果在cluster-ms-identity-spring-boot-webapp上一步中选择了 Azure Spring Apps 实例和ms-identity-spring-boot-webapp应用名称,则现在必须用于https://cluster-ms-identity-spring-boot-webapp-ms-identity-spring-boot-webapp.azuremicroservices.iopost-logout-redirect-uri该值。post-logout-redirect-uri: https://<cluster-name>-<app-name>.azuremicroservices.io保存此文件后,使用以下命令重新生成应用:
mvn clean package
重要
应用程序的application.yml文件当前在参数中client-secret保存客户端机密的值。 最好将此值保存在此文件中。 如果将其提交到 Git 存储库,则也可能面临风险。
作为额外的安全步骤,可以将此值存储在 Azure 密钥库中,并从密钥库加载机密,使其在应用程序中可用。
更新Microsoft Entra ID 应用注册
由于重定向 URI 更改为 Azure Spring Apps 上的已部署应用,因此还需要更改 Microsoft Entra ID 应用注册中的重定向 URI。 若要进行此更改,请使用以下步骤:
导航到面向开发人员的 Microsoft 标识平台应用注册页。
使用搜索框搜索应用注册 ,例如
java-servlet-webapp-authentication。通过选择应用名称打开应用注册。
从菜单中选择“身份验证”。
在“Web - 重定向 URI”部分中,选择“添加 URI”。
填写应用的 URI,追加
/login/oauth2/code/- 例如。https://<cluster-name>-<app-name>.azuremicroservices.io/login/oauth2/code/选择“保存”。
部署应用
使用以下命令部署应用:
mvn azure-spring-apps:deploy
以下列表描述了命令交互:
- OAuth2 登录名:需要根据 OAuth2 协议授权登录到 Azure。
执行命令后,你会从以下日志消息中看到部署已成功:
[INFO] Deployment(default) is successfully created
[INFO] Starting Spring App after deploying artifacts...
[INFO] Deployment Status: Running
[INFO] InstanceName:demo-default-x-xxxxxxxxxx-xxxxx Status:Running Reason:null DiscoverStatus:UNREGISTERED
[INFO] InstanceName:demo-default-x-xxxxxxxxx-xxxxx Status:Terminating Reason:null DiscoverStatus:UNREGISTERED
[INFO] Getting public url of app(demo)...
[INFO] Application url: https://<your-Azure-Spring-Apps-instance-name>-demo.azuremicroservices.io
验证应用
部署完成后,使用输出应用程序 URL 来访问应用程序。 按以下步骤检查应用程序的日志,以调查任何部署问题:
从“部署”部分的“输出”页访问输出应用程序 URL。
在 Azure Spring Apps 实例“概述”页面的导航窗格中,选择“日志”以检查应用的日志。
探索示例
使用以下步骤浏览示例:
- 请注意屏幕中心显示的已登录或注销状态。
- 选择角落中的上下文敏感按钮。 首次运行应用时,此按钮将 读取登录 。 或者,选择令牌详细信息、管理员或普通用户。 由于这些页面受到保护并需要身份验证,因此会自动重定向到登录页。
- 在下一页上,按照说明使用 Microsoft Entra ID 租户中的帐户登录。
- 在同意屏幕上,请注意请求的范围。
- 成功完成登录流后,应重定向到主页(显示 登录状态 )或其他页面之一,具体取决于哪个按钮触发了登录流。
- 请注意,上下文敏感按钮现在显示 “注销 ”并显示用户名。
- 如果位于主页上,请选择 “ID 令牌详细信息 ”以查看某些 ID 令牌解码的声明,包括角色。
- 选择“仅管理员”以查看 。
/admin_only只有具有应用角色PrivilegedAdmin的用户才能查看此页面。 否则,会显示授权失败消息。 - 选择“常规用户”以查看
/regular_user页面。 只有具有应用角色RegularUser或PrivilegedAdmin可以查看此页面的用户。 否则,会显示授权失败消息。 - 使用角落中的按钮注销。状态页反映新状态。
关于代码
此示例演示如何使用 适用于 Java 的 Microsoft Entra ID Spring Boot Starter 客户端库将用户登录到 Microsoft Entra ID 租户。 此示例还使用 Spring Oauth2 客户端和 Spring Web 启动器。 此示例使用从 Microsoft Entra ID 获取的 ID 令牌中的声明来显示已登录用户的详细信息,并使用角色声明进行授权来限制对某些页面的访问。
目录
下表显示了示例项目文件夹的内容:
| 文件/文件夹 | 说明 |
|---|---|
| pom.xml | 应用程序依赖项。 |
| src/main/resources/templates/ | 用于 UI 的 Thymeleaf 模板。 |
| src/main/resources/application.yml | 应用程序和Microsoft Entra ID 启动程序库配置。 |
| src/main/java/com/microsoft/azuresamples/msal4j/msidentityspringbootwebapp/ | 此目录包含应用程序入口点、控制器和配置类。 |
| .../MsIdentitySpringBootWebappApplication.java | Main 类。 |
| .../SampleController.java | 具有终结点映射的控制器。 |
| .../SecurityConfig.java | 安全配置 - 例如,需要身份验证的路由。 |
| .../Utilities.java | 实用工具类 - 例如,筛选器 ID 令牌声明。 |
| CHANGELOG.md | 示例更改列表。 |
| CONTRIBUTING.md | 参与示例的指南。 |
| LICENSE' | 示例的许可证。 |
ID 令牌声明
为了提取令牌详细信息,应用在请求映射中使用 Spring Security 和AuthenticationPrincipalOidcUser对象,如以下示例所示。 有关此应用如何使用 ID 令牌声明的完整详细信息,请参阅示例控制器。
import org.springframework.security.oauth2.core.oidc.user.OidcUser;
import org.springframework.security.core.annotation.AuthenticationPrincipal;
//...
@GetMapping(path = "/some_path")
public String tokenDetails(@AuthenticationPrincipal OidcUser principal) {
Map<String, Object> claims = principal.getIdToken().getClaims();
}
在 ID 令牌中处理角色声明
令牌的角色声明包括已登录用户分配到的角色的名称,如以下示例所示:
{
...
"roles": [
"PrivilegedAdmin",
"RegularUser",]
...
}
有关访问角色名称的常见方法, 请参阅 ID 令牌声明 部分。
Microsoft Entra ID Boot Starter v3.3 及更高版本也会自动分析角色声明,并将每个角色添加到已登录用户的前缀 Authorities,并为每个角色添加字符串 APPROLE_前缀。 此配置使开发人员能够使用该方法将应用角色与 Spring PrePost 条件批注结合使用 hasAuthority 。 例如,可以在SampleController.java中找到以下@PreAuthorize条件:
@GetMapping(path = "/admin_only")
@PreAuthorize("hasAuthority('APPROLE_PrivilegedAdmin')")
public String adminOnly(Model model) {
// restrict to users who have PrivilegedAdmin app role only
}
@GetMapping(path = "/regular_user")
@PreAuthorize("hasAnyAuthority('APPROLE_PrivilegedAdmin','APPROLE_RegularUser')")
public String regularUser(Model model) {
// restrict to users who have any of RegularUser or PrivilegedAdmin app roles
}
以下代码获取给定用户颁发机构的完整列表:
@GetMapping(path = "/some_path")
public String tokenDetails(@AuthenticationPrincipal OidcUser principal) {
Collection<? extends GrantedAuthority> authorities = principal.getAuthorities();
}
登录和注销链接
对于登录,应用向 Microsoft Entra ID 登录终结点发出请求,该终结点由 Microsoft适用于 Java 的 entra ID Spring Boot Starter 客户端库自动配置,如以下示例所示:
<a class="btn btn-success" href="/oauth2/authorization/azure">Sign In</a>
对于注销,应用向 logout 终结点发出 POST 请求,如以下示例所示:
<form action="#" th:action="@{/logout}" method="post">
<input class="btn btn-warning" type="submit" value="Sign Out" />
</form>
依赖于身份验证的 UI 元素
该应用在 UI 模板页面中具有一些简单的逻辑,用于根据用户是否进行身份验证来确定要显示的内容,如以下示例中使用 Spring Security Thymeleaf 标记所示:
<div sec:authorize="isAuthenticated()">
this content only shows to authenticated users
</div>
<div sec:authorize="isAnonymous()">
this content only shows to not-authenticated users
</div>
使用 AADWebSecurityConfigurerAdapter 保护路由
默认情况下,应用保护 ID 令牌详细信息、 仅限管理员和 常规用户 页面,以便只有登录用户可以访问它们。 应用从app.protect.authenticatedapplication.yml文件中的属性配置这些路由。 若要配置应用的特定要求,可以在其中一个类中扩展 AADWebSecurityConfigurationAdapter 。 有关示例,请参阅此应用的 SecurityConfig 类,如以下代码所示:
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends AADWebSecurityConfigurerAdapter{
@Value( "${app.protect.authenticated}" )
private String[] protectedRoutes;
@Override
public void configure(HttpSecurity http) throws Exception {
// use required configuration form AADWebSecurityAdapter.configure:
super.configure(http);
// add custom configuration:
http.authorizeRequests()
.antMatchers(protectedRoutes).authenticated() // limit these pages to authenticated users (default: /token_details, /admin_only, /regular_user)
.antMatchers("/**").permitAll(); // allow all other routes.
}
}
详细信息
- Microsoft 标识平台文档
- Microsoft身份验证库(MSAL)概述
- 快速入门:将应用程序注册到 Microsoft 标识平台
- 快速入门:配置客户端应用程序以访问 Web API
- 了解 Microsoft Entra ID 应用程序许可体验
- 了解用户同意和管理员同意
- Azure Active Directory 中的应用程序对象和服务主体对象
- 国家云
- MSAL 代码示例
- 适用于 Java 的 Azure Active Directory Spring Boot Starter 客户端库
- Microsoft Java 身份验证库 (MSAL4J)
- MSAL4J Wiki
- ID 令牌
- Microsoft 标识平台中的访问令牌
有关 OAuth 2.0 协议在此方案中的工作方式和其他方案的详细信息,请参阅 Microsoft Entra ID 的身份验证方案。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈