Wie validieren Sie Outlook-REST-API-Token?

Question

Dies ist ein Duplikat von how to validate token using outlook rest api, aber das erhielt keine Antworten, also frage ich nochmal.

Ich habe es geschafft, einen Benutzer zu autorisieren und ein Zugriffs-Token zu erhalten. Ich werde die Sandbox als Beispiel verwenden.

ich den Zugang decodiert Token und bekam die folgende:

Kopf

{ 
    "typ": "JWT", 
    "alg": "RS256", 
    "x5t": "MnC_VZcATfM5pOYiJHMba9goEKY", 
    "kid": "MnC_VZcATfM5pOYiJHMba9goEKY" 
} 

Payload

{ 
    "aud": "https://outlook.office.com", 
    "iss": "https://sts.windows.net/c512ffd1-581d-4dc0-a672-faee32f6387c/", 
    "iat": 1458918504, 
    "nbf": 1458918504, 
    "exp": 1458922404, 
    "acr": "1", 
    "amr": [ 
    "pwd" 
    ], 
    "appid": "32613fc5-e7ac-4894-ac94-fbc39c9f3e4a", 
    "appidacr": "1", 
    "family_name": "Dehenne", 
    "given_name": "Denis", 
    "ipaddr": "137.117.9.62", 
    "name": "Denis Dehenne", 
    "oid": "28328486-e820-4c98-a1cf-e8b35456313a", 
    "puid": "10033FFF89319A48", 
    "scp": "Calendars.Read Contacts.Read Mail.Read", 
    "sub": "XfYUvqiIreYX9wF-909Yf7Hodiwg6ClTwWOc75WmX7o", 
    "tid": "c512ffd1-581d-4dc0-a672-faee32f6387c", 
    "unique_name": "DenisD@oauthplay.onmicrosoft.com", 
    "upn": "DenisD@oauthplay.onmicrosoft.com", 
    "ver": "1.0" 
} 

Signature

Inside the Exchange identity token erwähnt etwas über Metadaten und selbstsignierte X509-Zertifikate, aber diese Tokens enthalten Felder, die nicht von denen existieren, die ich erhalte.

Der Header besagt, dass das Token mit RSA signiert ist. Ich möchte das Token validieren und dafür benötige ich den öffentlichen Schlüssel des Signierzertifikats. Wo würde ich das Zertifikat bekommen? Muss ich das Token überhaupt validieren?

Answer 1

Das Token wird von Microsoft Azure ausgegeben, nicht von Outlook oder der Outlook-REST-API. Ich habe den Tag azure für Sie hinzugefügt. Nach dem subtopic Validating Tokens:

Zu diesem Zeitpunkt sollte die einzige Token Validierung Ihre Anwendungen müssen, ist die Validierung id_tokens auszuführen. Um ein id_token zu validieren, sollte Ihre App sowohl die Signatur des id_token als auch die Ansprüche im id_token validieren.

Wir bieten Bibliotheken & Codebeispiele, die zeigen, wie Token-Validierung leicht zu behandeln - die folgenden Informationen sind einfach für diejenigen, die den zugrunde liegenden Prozess verstehen möchten. Es gibt auch mehrere 3rd-Party-Open-Source-Bibliotheken für JWT-Validierung verfügbar - es gibt mindestens eine Option für fast jede Plattform & Sprache da draußen.

Es geht um mehr Details zu geben. Wie auch die Unterzeichnung Schlüsseldaten zu erhalten:

Sie können die Unterzeichnung Schlüsseldaten erwerben notwendig, um die Unterschrift zu bestätigen, indem Sie die OpenID Connect Metadatendokument mit sich unter:

https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration