adal4j:基于证书的身份验证错误:无效的JWT令牌
我正在使用adal4j v1.1.2基于客户端证书获取令牌。adal4j:基于证书的身份验证错误:无效的JWT令牌
片段简称:Why does AcquireToken with ClientCredential fail with invalid_client (ACS50012)?
String AAD_HOST_NAME = "login.windows.net";
String AAD_TENANT_ID = "XXX";
String AAD_TENANT_ENDPOINT = "https://" + AAD_HOST_NAME + "/" + AAD_TENANT_ID + "/";
String AAD_CLIENT_ID = "XXX";
String AAD_RESOURCE_ID = "https://vault.azure.net";
String AAD_CERTIFICATE_PATH = "/XXX.pfx";
String AAD_CERTIFICATE_PASSWORD = "XXX";
String AAD_CLIENT_SECRET = "XXX";
ExecutorService service = ExecutorServiceHelper.createThreadPool(1, "azureHSMClientExecutorService-");
KeyStore keystore = KeyStore.getInstance("PKCS12", "SunJSSE");
keystore.load(new FileInputStream(AAD_CERTIFICATE_PATH),AAD_CERTIFICATE_PASSWORD.toCharArray());
String alias = keystore.aliases().nextElement();
PrivateKey key = (PrivateKey) keystore.getKey(alias, AAD_CERTIFICATE_PASSWORD.toCharArray());
X509Certificate cert = (X509Certificate) keystore.getCertificate(alias);
AsymmetricKeyCredential asymmetricKeyCredential = AsymmetricKeyCredential.create(AAD_CLIENT_ID,key, cert);
AuthenticationContext ctx = new AuthenticationContext(AAD_TENANT_ENDPOINT, false, service);
Future<AuthenticationResult> result = ctx.acquireToken(AAD_RESOURCE_ID, asymmetricKeyCredential, null);
AuthenticationResult authenticationResult = result.get();
String token = authenticationResult.getAccessToken();
这将导致以下AUTH例外
AuthenticationException: com.microsoft.aad.adal4j.AuthenticationException: {"error":"invalid_client","error_description":"AADSTS70002: Error validating credentials. AADSTS50027: Invalid JWT token. No certificate thumbprint specified in token header.\r\nTrace ID: 9719e621-d8ef-4194-93cd-a78103d5df6b\r\nCorrelation ID: f0300795-fb99-44b2-bd95-8df3975290be\r\nTimestamp: 2016-08-29 13:51:26Z"}
我不知道如何通过指纹同时呼吁acquireToken
。这里有什么遗漏吗?
根据您的代码,您似乎希望使用证书对Azure Service Management API进行身份验证,但获取访问令牌的代码似乎使用Azure AD进行身份验证。你可以参考文章Authenticating Service Management Requests了解它们的区别。
作为参考,有一个blog介绍了如何在Java中使用带有证书的Windows Azure服务管理API。
但是,根据我的经验,根据代码String AAD_RESOURCE_ID = "https://vault.azure.net";
,您似乎还想对Azure密钥保管库执行一些管理操作。借助Azure Key Vault Management的REST API参考,您应该使用Azure资源管理器获取访问令牌来执行这些操作。因此,如果您想管理密钥保管库,请参阅其他blog以了解如何使用Java以ARM进行身份验证。
希望它有帮助。
更新:
的AAD_RESOURCE_ID
关键库应该像/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{vault-name}
,请参考文章https://msdn.microsoft.com/en-us/library/azure/mt620025.aspx和搜索关键字resource id
,看到如下图所示。
您可以通过Azure CLI命令azure keyvault show --vault-name <your-keyvault-name>
获取资源ID。
你能告诉我们你是如何构建'asymmetricKeyCredential'吗? –
已更新原始文章与完整片段 – YogeshORai
有人可以建议什么在这里丢失 – YogeshORai