微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > Java > java教程 > 正文

Azure AD 访问令牌刷新机制详解

霞舞
发布: 2025-09-18 14:28:02
原创
1003人浏览过

azure ad 访问令牌刷新机制详解

本文详细阐述了在Java Web应用中集成Microsoft账户登录后,如何处理Azure AD访问令牌过期的问题。当现有访问令牌失效时,不能直接使用刷新令牌进行API调用。文章提供了一种通过直接调用Azure AD OAuth2.0令牌端点,利用刷新令牌获取新访问令牌的解决方案,并指导如何将新令牌集成到GraphServiceClient中,同时强调了相关的安全和实现注意事项。

访问令牌的生命周期与挑战

在开发与Microsoft Graph或其他Azure AD保护资源交互的Web应用程序时,用户通常会通过OAuth 2.0流程进行认证,获取到访问令牌(Access Token)和刷新令牌(Refresh Token)。访问令牌用于授权对受保护资源的访问,但它们具有有限的生命周期(通常为1小时)。当访问令牌过期后,应用程序需要一种机制来获取新的访问令牌,以维持用户会话并继续访问资源,而无需用户重新登录。

例如,在使用Azure SDK for Java或Microsoft Graph SDK时,我们可能会通过TokenCredential来提供访问令牌:

final TokenCredential tokenCredential = request -> {
    // account.getTokenExpiry() 和 account.getAccessToken() 应该动态更新
    final OffsetDateTime offset = OffsetDateTime.ofInstant(account.getTokenExpiry().toInstant(), ZoneId.systemDefault());
    final AccessToken token = new AccessToken(account.getAccessToken(), offset);
    return Mono.create(sink -> sink.success(token));
};

final TokenCredentialAuthProvider tokenCredentialAuthProvider = 
  new TokenCredentialAuthProvider(tokenCredential);

this.graphServiceClient =
    GraphServiceClient
        .builder()
        .authenticationProvider(tokenCredentialAuthProvider)
        .buildClient();
登录后复制

上述代码片段展示了如何使用一个TokenCredential来为GraphServiceClient提供访问令牌。然而,当account.getAccessToken()中的令牌过期时,TokenCredentialAuthProvider本身并不会自动触发令牌刷新。此时,直接使用已过期的访问令牌进行API调用将导致认证失败。因此,我们需要主动地使用刷新令牌来获取新的访问令牌。

解决方案:通过刷新令牌获取新访问令牌

OAuth 2.0协议提供了“刷新令牌(refresh_token)”授权类型,允许客户端在访问令牌过期后,使用刷新令牌向授权服务器请求新的访问令牌。这个过程通常在后台进行,对用户透明。

刷新令牌的API调用

为了获取新的访问令牌,我们需要向Azure AD的OAuth 2.0令牌端点发起一个POST请求。这个端点是:https://login.microsoftonline.com/common/oauth2/v2.0/token。

请求需要包含以下参数:

  • client_id: 您的应用程序注册时获得的客户端ID。
  • grant_type: 必须设置为refresh_token。
  • redirect_uri: 您的应用程序注册时配置的重定向URI。
  • scope: 您希望请求的权限范围。通常与原始授权请求中的范围相同或更小。
  • refresh_token: 用户登录时获取到的刷新令牌。
  • client_secret: 您的应用程序注册时生成的客户端密钥。

以下是一个使用Spring RestTemplate在Java中执行此操作的示例:

AI建筑知识问答
AI建筑知识问答

用人工智能ChatGPT帮你解答所有建筑问题

AI建筑知识问答 22
查看详情 AI建筑知识问答 
import org.springframework.http.HttpEntity;
import org.springframework.http.HttpHeaders;
import org.springframework.http.MediaType;
import org.springframework.http.ResponseEntity;
import org.springframework.util.LinkedMultiValueMap;
import org.springframework.util.MultiValueMap;
import org.springframework.web.client.RestTemplate;

import com.fasterxml.jackson.databind.JsonNode;
import com.fasterxml.jackson.databind.ObjectMapper;

import java.io.IOException;
import java.time.OffsetDateTime;
import java.time.ZoneId;

public class AzureAdTokenRefresher {

    private final RestTemplate restTemplate;
    private final ObjectMapper objectMapper;

    public AzureAdTokenRefresher() {
        this.restTemplate = new RestTemplate();
        this.objectMapper = new ObjectMapper();
    }

    /**
     * 使用刷新令牌获取新的访问令牌。
     * @param refreshToken 用户的刷新令牌
     * @return 包含新访问令牌、刷新令牌(如果返回)和过期时间等信息的JSON字符串
     * @throws IOException 如果JSON解析失败
     */
    public TokenResponse refreshAccessToken(String refreshToken) throws IOException {
        String url = "https://login.microsoftonline.com/common/oauth2/v2.0/token";

        HttpHeaders headers = new HttpHeaders();
        headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);

        // TODO: 这些值应从配置文件或环境变量中安全读取
        MultiValueMap<String, String> map= new LinkedMultiValueMap<>();
        map.add("client_id", "your_client_id"); // 替换为您的应用客户端ID
        map.add("grant_type", "refresh_token");
        map.add("redirect_uri", "http://localhost:5000/login/oauth2/code/microsoft"); // 替换为您的重定向URI
        map.add("scope", "openid profile offline_access User.Read Mail.Read"); // 替换为您的权限范围
        map.add("refresh_token", refreshToken);
        map.add("client_secret", "your_client_secret"); // 替换为您的应用客户端密钥

        HttpEntity<MultiValueMap<String, String>> request = new HttpEntity<>(map, headers);

        ResponseEntity<String> response = restTemplate.postForEntity(url, request, String.class);

        if (response.getStatusCode().is2xxSuccessful()) {
            String responseBody = response.getBody();
            JsonNode rootNode = objectMapper.readTree(responseBody);

            String newAccessToken = rootNode.get("access_token").asText();
            String newRefreshToken = rootNode.has("refresh_token") ? rootNode.get("refresh_token").asText() : refreshToken;
            long expiresInSeconds = rootNode.get("expires_in").asLong();

            // 计算新的过期时间
            OffsetDateTime expiryTime = OffsetDateTime.now(ZoneId.systemDefault()).plusSeconds(expiresInSeconds);

            return new TokenResponse(newAccessToken, newRefreshToken, expiryTime);
        } else {
            // 处理错误响应
            throw new RuntimeException("Failed to refresh token: " + response.getStatusCode() + " - " + response.getBody());
        }
    }

    // 辅助类用于封装令牌响应
    public static class TokenResponse {
        private final String accessToken;
        private final String refreshToken;
        private final OffsetDateTime expiryTime;

        public TokenResponse(String accessToken, String refreshToken, OffsetDateTime expiryTime) {
            this.accessToken = accessToken;
            this.refreshToken = refreshToken;
            this.expiryTime = expiryTime;
        }

        public String getAccessToken() { return accessToken; }
        public String getRefreshToken() { return refreshToken; }
        public OffsetDateTime getExpiryTime() { return expiryTime; }
    }
}
登录后复制

此方法将返回一个JSON字符串,其中包含新的access_token、expires_in(访问令牌的有效期,以秒为单位),以及可能更新的refresh_token(某些授权服务器会在每次刷新时颁发新的刷新令牌,旧的刷新令牌会失效)。

将新令牌集成到GraphServiceClient

获取到新的访问令牌后,需要更新应用程序中存储的令牌信息,并确保GraphServiceClient使用这个新令牌。由于原始的TokenCredential是通过Lambda表达式动态获取account对象的令牌,我们只需要更新account对象中存储的访问令牌和其过期时间即可。

假设您的account对象是一个自定义的数据结构,用于存储用户的认证信息:

// 假设您的 Account 类有以下方法
public class UserAccount {
    private String accessToken;
    private String refreshToken;
    private OffsetDateTime tokenExpiry;

    // ... 构造函数,getter和setter ...

    public void updateTokens(String newAccessToken, String newRefreshToken, OffsetDateTime newExpiry) {
        this.accessToken = newAccessToken;
        this.refreshToken = newRefreshToken;
        this.tokenExpiry = newExpiry;
    }
}
登录后复制

当您需要刷新令牌时:

// 假设 currentAccount 是当前用户的 UserAccount 实例
UserAccount currentAccount = // ... 从存储中加载 ...

// 检查令牌是否即将过期或已过期
if (currentAccount.getTokenExpiry().isBefore(OffsetDateTime.now(ZoneId.systemDefault()).plusMinutes(5))) { // 提前5分钟刷新
    try {
        AzureAdTokenRefresher refresher = new AzureAdTokenRefresher();
        AzureAdTokenRefresher.TokenResponse tokenResponse = refresher.refreshAccessToken(currentAccount.getRefreshToken());

        // 更新 account 对象中的令牌信息
        currentAccount.updateTokens(
            tokenResponse.getAccessToken(),
            tokenResponse.getRefreshToken(), // 使用新的刷新令牌,如果返回了的话
            tokenResponse.getExpiryTime()
        );
        // ... 将更新后的 currentAccount 保存回存储 ...

        // GraphServiceClient 的 TokenCredential 会在下次请求时自动获取更新后的令牌
        // 因为它的实现是每次请求时从 account 对象中获取最新令牌。
        // 如果 GraphServiceClient 需要重新构建,则在此处重新构建。
        // 对于上述 lambda 表达式实现的 TokenCredential,通常不需要重新构建 GraphServiceClient。

    } catch (IOException | RuntimeException e) {
        // 处理令牌刷新失败的情况,可能需要用户重新登录
        System.err.println("Failed to refresh access token: " + e.getMessage());
        // 标记用户需要重新认证
    }
}
登录后复制

注意事项

  1. 安全性: client_id和client_secret是敏感信息,绝不应硬编码在代码中或直接暴露给客户端。它们应该从安全配置(如环境变量、Azure Key Vault、配置文件)中读取。client_secret应严格保密。
  2. 刷新令牌的存储: 刷新令牌具有较长的生命周期,并且可以用于获取新的访问令牌。因此,它们必须像密码一样安全地存储(例如,加密存储在数据库中,或使用安全的会话管理)。
  3. 错误处理: 令牌刷新请求可能会失败,例如网络问题、刷新令牌过期或被吊销等。您的应用程序应妥善处理这些错误,并可能需要提示用户重新登录。
  4. 刷新令牌的生命周期: 虽然刷新令牌的生命周期通常比访问令牌长得多,但它们也可能过期或被吊销(例如,用户更改密码、管理员撤销权限)。因此,应用程序需要准备好在刷新令牌失效时引导用户重新进行完整的认证流程。
  5. 并发刷新: 如果应用程序是多线程或分布式部署的,并且多个请求可能同时尝试刷新同一个用户的令牌,需要实现适当的同步机制(如分布式锁)来避免不必要的重复刷新或竞态条件。
  6. redirect_uri和scope: 在刷新令牌请求中使用的redirect_uri和scope应与最初获取刷新令牌时使用的值保持一致。
  7. 响应解析: 令牌端点返回的JSON响应可能包含除了access_token和expires_in之外的其他字段,如token_type、scope和新的refresh_token。务必解析并利用这些信息。特别是,如果返回了新的refresh_token,您应该用它替换旧的刷新令牌。

总结

在与Azure AD集成的Java Web应用程序中,实现访问令牌刷新是维护用户会话和提供无缝用户体验的关键。虽然Graph SDK或Azure SDK的TokenCredential机制本身不直接处理刷新,但通过直接调用Azure AD的OAuth 2.0令牌端点,我们可以利用刷新令牌获取新的访问令牌。正确地实现这一机制,并遵循安全最佳实践,可以确保应用程序能够稳定、安全地访问Microsoft Graph和其他Azure AD保护的资源。

以上就是Azure AD 访问令牌刷新机制详解的详细内容,更多请关注php中文网其它相关文章!

相关标签:
java js json node 编码 app access ai 环境变量 microsoft 配置文件 会话管理 Java spring 分布式 json for Token 字符串 Lambda 数据结构 线程 多线程 并发 对象 数据库 https microsoft azure Access

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:Java安装完成后如何升级到新版本 下一篇:Java try with resources语法使用方法
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
Java中通过通用接口实现多态方法调用:处理共享同名方法的设计模式 本文深入探讨了在Java中如何优雅地处理多个类拥有同名方法,并需要通过一个统一入口进行调用的场景。通过引入共同接口并利用多态特性,文章演示了如何设计一个灵活的系统,使得一个方法能够接受不同类型的对象,并正确调用它们各自的特定实现,从而有效提升代码的可维护性、可扩展性和复用性。
2025-11-17 18:33:44
763
Java中利用正则表达式对点分隔数字进行补零格式化 本文旨在提供一种高效且不依赖传统字符串分割方法,使用Java正则表达式对点分隔的数字字符串(如版本号“8.1.8”)进行标准化格式化的教程。通过一系列链式替换操作,我们将演示如何为单个数字(如“8”)自动添加前导零,将其转换为两位数形式(如“08”),最终实现“08.01.08”的输出。
2025-11-17 18:23:12
197
Spring Boot @GetMapping 路径映射指南:解决404错误 在使用SpringBoot开发Web应用时,若@GetMapping注解未明确指定路径,访问根URL可能会导致404WhitelabelError。本文旨在阐述@GetMapping注解的正确路径映射机制,指导开发者如何通过为该注解提供显式路径参数来避免此类路由错误,确保HTTPGET请求能够准确地映射到对应的控制器方法。
2025-11-17 18:19:02
342
Java GC线程中SIGSEGV故障的诊断与TLAB优化实践 本文旨在深入分析Java虚拟机(JVM)在垃圾回收(GC)线程中出现SIGSEGV(分段错误)的故障。通过解析错误堆栈,我们识别出问题可能源于JVM内部内存分配机制,特别是CollectedHeap::common_mem_allocate_init函数。教程将探讨线程本地分配缓冲区(TLAB)与大对象分配的相关性,并提供诊断步骤、潜在的JVM参数调优策略以及其他缓解措施,以帮助开发者定位并解决此类致命错误。
2025-11-17 18:15:02
528
Java包结构与命令行执行:解决NoClassDefFoundError 本文旨在解决Java初学者在使用命令行执行带有包声明的代码时遇到的NoClassDefFoundError问题。我们将深入探讨Java的包机制与类加载原理,提供两种核心解决方案:从包的父目录使用完全限定名执行,或利用-classpath(-cp)选项指定类路径。此外,还将介绍JDK11及以上版本直接运行源文件的方法,并强调Java命名规范和项目实践建议。
2025-11-17 18:04:24
828
Android JobService 在低电量模式下的行为策略与通知持久性 本文深入探讨了Android系统在低电量或电池省电模式下对JobService等后台任务的调度策略,强调系统会优先终止非关键任务以延长设备续航。同时,文章澄清了Android通知的持久性机制,指出一旦通知发布,它会由系统管理并持续显示,直至用户手动清除,因此通常无需借助JobService来维持通知的存在。开发者应理解并遵循系统层面的电源管理规则,设计健壮的应用程序,以应对后台任务中断的情况。
2025-11-17 18:01:36
400
JavaFX WebView:从文本输入框加载用户指定网址的教程 本教程旨在解决JavaFX中WebView组件无法正确加载用户在文本输入框中输入的网址的问题。核心问题在于混淆了用于显示域名的Text组件和用于接收用户输入的TextField组件。文章将详细阐述如何通过将TextField声明为类成员并正确引用其内容来解决此问题,同时提供优化代码结构、改进页面加载时机以及增强用户反馈的专业建议,帮助开发者构建功能完善的JavaFX浏览器应用。
2025-11-17 18:00:24
423
解决Java REST客户端SSL握手异常:绕过证书与主机名验证 本文旨在解决JavaREST客户端在使用HttpURLConnection调用HTTPS服务时遇到的SSLHandshakeException,特别是“Nosubjectalternativenamespresent”错误。文章将详细指导如何利用ApacheHttpClient库,通过配置自定义SSL上下文来信任自签名或非标准证书,并禁用主机名验证,从而成功建立安全连接,克服原生API在严格证书校验下的限制。
2025-11-17 17:59:23
263
Java中实现音频循环播放的专业指南 本文详细介绍了在Java中实现音频循环播放的正确方法。我们将摒弃不推荐使用的sun.audio类,转而采用标准且功能强大的javax.sound.sampled包。教程将涵盖如何加载音频文件、利用Clip接口实现无限循环播放,并进一步探讨如何在独立线程中管理音频播放,以确保即使主线程结束,背景音乐也能持续运行,提供完整的代码示例和注意事项。
2025-11-17 17:54:36
680
Mockito Spy实战:高效测试调用内部方法的Java函数 当单元测试中需要测试一个方法,而该方法又会调用同一类中的其他内部方法时,直接使用@InjectMocks并尝试when()这些内部方法可能导致NullPointerException。本文将深入探讨此问题的原因,并提供使用Mockito.spy进行部分模拟的解决方案。通过doReturn().when()语法,我们能够灵活地存根(stub)内部方法的行为,从而有效测试复杂业务逻辑,即使内部方法处理动态值也能应对自如,同时强调使用spy的注意事项。
2025-11-17 17:51:01
259
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部