Sprawdzanie poprawności tokena identyfikacyjnego w aplikacjach logicznych Azure obejmuje kilka kroków, koncentrując się przede wszystkim na zapewnieniu, że token jest autentyczny i nie został zmodyfikowany. Oto jak możesz do tego podejść:
1. Zrozum tokeny identyfikatora: Tokeny identyfikatora to tokeny internetowe JSON (JWTS) wydane przez serwer autoryzacji w celu potwierdzenia tożsamości użytkownika. Zawierają one roszczenia dotyczące użytkownika i są używane do uwierzytelniania, a nie autoryzacji [3].
2. Sprawdź token:
- Emitent: Upewnij się, że token został wydany przez oczekiwany organ, taki jak `https://login.microsoftonline.com/ {Tenantid}/v2.0`.
- Publiczność: Sprawdź, czy token jest przeznaczony do aplikacji, sprawdzając roszczenie „aud” pasuje do identyfikatora klienta aplikacji.
- Znacznik czasu: Sprawdź, czy „IAT”, `NBF` i` `exp 'są prawidłowe, upewniając się, że token nie jest wygasł lub nie jest jeszcze ważny [3].
3. Użyj biblioteki sprawdzania poprawności: Zamiast ręcznie sprawdzania tokena użyj biblioteki zaprojektowanej do sprawdzania poprawności JWT, aby sprawdzić podpis i roszczenia. Takie podejście pomaga zapobiegać wspólnym pułapkom i zapewnia bezpieczeństwo [3].
4. Zintegruj z aplikacjami logicznymi Azure:
- W aplikacji logicznej możesz użyć opcji uwierzytelniania do weryfikacji tokenów. Na przykład możesz skonfigurować zasadę autoryzacji, która sprawdza roszczenia emitenta i odbiorców [9].
- Użyj widoku kodu aplikacji logicznej, aby uwzględnić nagłówki autoryzacji w wyjściach wyzwalaczy, umożliwiając dostęp i weryfikację tokena w przepływie pracy [9].
5. Zarządzane tożsamości dla zwiększonego bezpieczeństwa:
- Chociaż nie jest to bezpośrednio związane z sprawdzaniem poprawności tokenu ID, korzystanie z zarządzanych tożsamości w aplikacjach logicznych Azure może zwiększyć ogólne bezpieczeństwo, eliminując potrzebę zarządzania poświadczeniami uwierzytelniania [2] [11].
Postępując zgodnie z tymi krokami, możesz skutecznie weryfikować tokeny identyfikatorowe w aplikacjach logicznych Azure, upewniając się, że tylko uwierzytelnieni użytkownicy mogą wyzwolić przepływy pracy.
Cytaty:
[1] https://www.linkedin.com/pulse/securing-request oparty na triggered-logic-apps-using-azure-senih
[2] https://docs.azure.cn/en-us/logic-apps/logic-apps-securing-a-logic-app
[3] https://docs.azure.cn/en-us/entra/identity-platform/id-tokens
[4] https://stackaverflow.com/questions/50239472/how--ususe-odata-id-in-json-body-when-using-the-http-action-in-azure-logic-ap/50251779
[5] https://stackoverflow.com/questions/58821345/logic-app-calling-webapi-with-managed-identity-whind-token-is-added-to-re
[6] https://www.youtube.com/watch?v=tgjic_go1qk
[7] https://www.youtube.com/watch?v=zvijhve0muu
[8] https://github.com/azure/azure-functions-host/issues/10532
[9] https://autosysops.com/blog/parse-jwt-tokens-in-azure-logic-apps
[10] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-custom-ap-authentication
[11] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
