Freigeben über


Azure Fluid Relay-Tokenvertrag

Anforderungen, die an Azure Fluid Relay gesendet werden, sollten ein JWT-Token im Autorisierungsheader enthalten. Dieses Token muss vom Mandantenschlüssel signiertwerden.

Ansprüche

JSON Web Token (JWTs) sind in drei Teile unterteilt:

  • Header: Enthält Informationen dazu, wie Sie das Token überprüfen können. Dazu zählen auch Informationen zum Typ des Tokens und zu seiner Signierung.
  • Nutzdaten: Enthält alle wichtigen Daten über den Benutzer oder die App, der bzw. die Ihren Dienst aufzurufen versucht.
  • Signatur: Dies ist das Rohmaterial, das zum Überprüfen des Tokens verwendet wird.

Diese Teile sind jeweils durch einen Punkt (.) getrennt und werden separat Base64-codiert.

Headeransprüche

Anspruch Format Beschreibung
alg Zeichenfolge Der zum Signieren des Tokens verwendete Algorithmus. Beispiel: HS256
Typ Zeichenfolge Dieser Wert sollte immer „JWT“ sein.

Nutzlastansprüche

Anspruch Format Beschreibung
documentId Zeichenfolge Generiert vom Azure Fluid Relay (AFR)-Dienst. Identifiziert das Dokument, für das das Token generiert wird.
scope string[] Gibt an, welche Berechtigungen der Client für das Dokument oder die Zusammenfassung benötigt. Für jeden Bereich können Sie die Berechtigungen definieren, die Sie dem Client erteilen möchten.
tenantId Zeichenfolge Gibt den Mandanten an.
user JSON Identifiziert die Benutzer Ihrer Anwendung. Kann von Ihrer Anwendung verwendet werden, um Ihre Benutzer mithilfe der Fluid Framework-Zielgruppe zu identifizieren.
{ id: <user_id>, name: <user_name>, additionalDetails: { email: <email>, date: <date>, }, }
Iat Eine Zahl, ein UNIX-Zeitstempel „Issued At“ gibt an, wann die Authentifizierung für dieses Token erfolgt ist.
exp Eine Zahl, ein UNIX-Zeitstempel Der Anspruch „exp“ (Ablaufzeit) gibt die Ablaufzeit an, ab oder nach der das JWT zur Bearbeitung nicht akzeptiert werden darf. Die Tokenlebensdauer darf nicht mehr als 1 Stunde betragen.
ver Zeichenfolge Gibt die Version des Zugriffstokens an. Dieser Wert muss 1.0 sein.
jti Zeichenfolge Optional. Der Anspruch "jti" (JWT-ID) stellt einen eindeutigen Bezeichner für das JWT bereit. Der Bezeichnerwert MUSS auf eine Art und Weise zugewiesen werden, die sicherstellt, dass eine geringe Wahrscheinlichkeit besteht, dass der gleiche Wert versehentlich einem anderen Datenobjekt zugewiesen ist. Wir empfehlen Ihnen, diesen Anspruch zu verwenden, um Fehler aufgrund der Verwendung desselben Tokens für die Dokumenterstellung zu vermeiden.

Azure Fluid Relay-Beispieltoken

{ 
  "alg": "HS256",  
  "typ": "JWT" 
}.{ 
  "documentId": "746c4a6f-f778-4970-83cd-9e21bf88326c", 
  "scopes": [ "doc:read", "doc:write", "summary:write" ],   
  "iat": 1599098963,  
  "exp": 1599098963,  
  "tenantId": "AzureFluidTenantId",  
  "ver": "1.0",
  "jti": "d7cd6602-2179-11ec-9621-0242ac130002"
}.[Signature] 

Wie können Sie ein Azure Fluid Relay-Token generieren?

Sie können das npm-Paket jsonwebtoken verwenden und Ihr Token mit dieser Methode signieren.

export function getSignedToken(
    tenantId: string,
    documentId: string,
    tokenLifetime: number = 60 * 60,
    ver: string = "1.0") {
        jwt.sign(
            {
                documentId, 
                user: {
                    displayName: "displayName", 
                    id: "userId", 
                    name: "userName" 
                }, 
                scopes: ["doc:read", "doc:write", "summary:write"], 
                iat: Math.round((new Date()).getTime() / 1000), 
                exp: Math.round((new Date()).getTime() / 1000) + tokenLifetime, //set the expiry date based on your needs but max-limit is one hour.
                tenantId, 
                ver,
                jti: uuid(), 
            },
            "<tenant_key>");
    }