如何解决针对Spring Boot API的Android身份验证不起作用
我有一个使用Auth0 JWT身份验证的Spring Boot后端API,目前有两个客户端,一个Vue SPA和一个Android应用程序。 Vue SPA可以正常工作。它在Auth0中使用SPA应用程序类型,并且身份验证机制使用受众群体,例如:
{
"domain": "mycompany.auth0.com","clientId": "mySPAclientID","audience": "https://myaudience.mycompany.com"
}
我认为我可以在Android中执行类似的操作,因此我在Auth0仪表板中创建了本机应用程序类型,下载了相应的快速入门,并尝试进行身份验证。我当然可以通过Auth0进行身份验证并取回JWT,但是JWT不适用于我的https://myaudience.mycompany.com听众指定的Spring Boot API,并且Spring Boot安全配置希望在JWT中。我首先想到的是,我可以简单地将观众添加到Android应用程序的登录操作中:
WebAuthProvider.login(auth0)
.withScheme("demo")
.withAudience(String.format("https://%s/userinfo",getString(R.string.com_auth0_domain)))
.withAudience("https://myaudience.mycompany.com") // added this
.start(this,new AuthCallback() { ... }
但这不起作用。当我解析返回的JWT时,受众部分不包含预期的块。它应该看起来像这样:
"aud": [
"https://myaudience.mycompany.com","https://mycompany.auth0.com/userinfo"
]
但是它看起来像这样:
"aud": "myNativeClientID"
它也完全丢失了scope元素。使这项工作正确的方法是什么?我需要一个新的Auth0 API,它需要一个新的Spring Boot安全机制吗?还是在登录请求中缺少一些简单的东西?还是我的Auth0本机应用程序中缺少某些配置?我已经阅读了所有相关文档,但没有任何效果。我不确定该如何进行,我们将不胜感激。
解决方法
在Auth0员工的帮助下,我意识到我将Auth0 ID令牌与访问令牌混淆了。在Auth0中,ID令牌总是作为JWT发出,但它们不能用于访问Auth0 API,只有访问令牌才能做到这一点。麻烦在于,除非您在登录请求中指定“受众群体”,否则访问令牌的格式很简单,如下所示:
1v-QyDrPaJ5rOUBOk3g_0HtEwtN4C-4U
但是,当您添加一个访问者(即Auth0 API,在后端,无论它是什么,在我的示例中为Spring Boot,它在后端又被引用)时,访问令牌将成为具有所有必需的访问者和作用域的JWT (我相信默认情况下范围仅限于openapi)。
因此,因为访问令牌不是JWT(因为当我第一次检查登录响应时尚未添加受众),所以我将其关闭,并使用了ID令牌,正如我提到的那样,用于访问Auth0 API。回到使用访问令牌JWT后,一切都会按预期进行。
接受此答案,以防将来对任何人有帮助。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。