Azure的廣告訪問令牌澄清

Question

我需要澄清的樣品或參考鏈接如下項目：

1. 如何啓用訪問令牌的自動續期？
2. 如何獲得活動訪問令牌和過期時間？
3. 是否有任何可能的方式從訪問令牌再次獲取廣告用戶名，密碼和客戶端ID？
4. 如何驗證訪問令牌？

這一切都需要在c＃中實現而不是在powershell中。

Answer 1

如何啓用自動更新訪問令牌？

在成功認證，天青AD返回兩個令牌：一個JWT接入令牌和JWT刷新令牌。當所述接入令牌過期，客戶機應用程序將接收指示用戶需要再次認證錯誤。如果應用程序具有有效的刷新令牌，則可以使用該令牌來獲取新的訪問令牌，而不會提示用戶再次登錄。如果刷新令牌到期，應用程序將需要再次交互式驗證用戶身份。

如何獲取活動的訪問令牌和過期時間？

對於如何驗證用戶身份，並得到一個Azure的AD訪問令牌的蔚藍廣告的應用程序，你可以參考Authentication Scenarios for Azure AD .The Azure的Active Directory驗證庫（ADAL）使客戶端應用程序開發人員能夠輕鬆驗證用戶雲或本地Active Directory（AD），並獲取用於保護API調用的訪問令牌。 ADAL可用於各種平臺。您可以在this document中找到代碼示例和常見方案。

是否有任何可能的方式來從訪問令牌再次獲得廣告的用戶名，密碼和客戶端ID？

你可以得到解碼訪問令牌，找到upn要求存儲用戶主體的用戶名; appid聲明標識正在使用令牌訪問資源的應用程序。請參考文檔：Azure AD token reference。當然，您無法獲取密碼信息。

如何驗證訪問令牌？

JWT令牌已簽名，但收到時未加密。它必須validate the signature來證明令牌的真實性並驗證令牌中的一些聲明以證明其有效性。由應用程序驗證的聲明因場景要求而異，但您的應用必須在每種情況下執行一些常見聲明驗證。例如，如果您正在開發單個租戶應用，則需要驗證iss和aud索賠。而且您還需要驗證nbf以確保令牌未過期。詳情請參閱Validating tokens。

Here是如何手動驗證Web API中的JWT訪問令牌的代碼示例。如果您在項目中使用OWIN組件，則使用UseWindowsAzureActiveDirectoryBearerAuthentication擴展驗證令牌更爲容易，代碼示例here僅供參考。