使用 Microsoft Entra 識別碼啟用 Java Tomcat 應用程式的登入
本文示範使用適用於 Java 的 Microsoft 驗證連結庫 (MSAL) 登入使用者的 Java Tomcat 應用程式,以登入您的 Microsoft Entra ID 租使用者。
下圖顯示應用程式的拓撲:
用戶端應用程式會使用 MSAL for Java (MSAL4J) 將使用者登入自己的Microsoft Entra ID 租使用者,並從 Microsoft Entra ID 取得標識符 令牌 。 標識元令牌會證明使用者已使用此租用戶進行驗證。 應用程式會根據使用者的驗證狀態保護其路由。
必要條件
- JDK 第 8 版或更高版本
- Maven 3
- Microsoft Entra ID 租用戶。 如需詳細資訊,請參閱 如何取得Microsoft Entra ID 租使用者。
- 如果您想要只使用組織目錄中的帳戶,則您自己Microsoft Entra ID 租使用者的用戶帳戶,也就是在單一租使用者模式中。 如果您尚未在 Microsoft Entra ID 租使用者中建立使用者帳戶,您應該先這樣做,再繼續。 如需詳細資訊,請參閱 如何建立、邀請和刪除使用者。
- 如果您想要在任何組織目錄中使用任何組織目錄中的帳戶,則為任何組織的 Microsoft Entra ID 租使用者中的用戶帳戶,也就是在多租使用者模式中。 您必須修改此範例,才能使用個人Microsoft帳戶。 如果您尚未在Microsoft Entra ID 租使用者中建立用戶帳戶,您應該先這樣做,再繼續。 如需詳細資訊,請參閱 如何建立、邀請和刪除使用者。
- 如果您想要使用個人Microsoft帳戶,例如 Xbox、Hotmail、Live 等個人Microsoft帳戶。
建議
- 一些熟悉 Java/Jakarta Servlets。
- 一些熟悉 Linux/OSX 終端機。
- jwt.ms 檢查令牌。
- Fiddler 用於監視您的網路活動和疑難解答。
- 請遵循Microsoft Entra ID 部落格,隨時掌握最新的發展。
設定範例
下列各節說明如何設定範例應用程式。
複製或下載範例存放庫
若要複製範例,請開啟Bash視窗,並使用下列命令:
git clone https://github.com/Azure-Samples/ms-identity-msal-java-samples.git
cd 3-java-servlet-web-app/1-Authentication/sign-in
或者,流覽至 ms-identity-msal-java-samples 存放庫,然後將它下載為 .zip 檔案,並將其解壓縮至您的硬碟。
重要
若要避免 Windows 上的檔案路徑長度限制,請將存放庫複製到硬碟根目錄附近的目錄中。
向Microsoft Entra ID 租用戶註冊範例應用程式
此範例中有一個專案。 本節說明如何註冊應用程式。
首先,依照快速入門:向 Microsoft 身分識別平台 註冊應用程式,以在 Azure 入口網站 中註冊應用程式。
然後,使用下列步驟來完成註冊:
流覽至 適用於開發人員的 Microsoft 身分識別平台 應用程式註冊 頁面。
選取新增註冊。
在出現的 [ 註冊應用程式] 頁面中 ,輸入下列應用程式註冊資訊:
在 [ 名稱] 區段中,輸入有意義的應用程式名稱,以顯示給應用程式的使用者 ,例如
java-servlet-webapp-authentication。在 [支持的帳戶類型] 底下,選取下列其中一個選項:
- 只有在您要建置應用程式以供租使用者中的使用者使用時,才選取此組織目錄中的 [帳戶],也就是單一租用戶應用程式。
- 如果您想要任何Microsoft Entra ID 租使用者中的用戶能夠使用您的應用程式,請選取 [任何組織目錄中的帳戶],也就是多租用戶應用程式。
- 針對最廣泛的客戶,選取 任何組織目錄中的帳戶和個人Microsoft帳戶 ,也就是同時支援Microsoft個人帳戶的多租用戶應用程式。
- 選取 [個人Microsoft帳戶],僅供個人Microsoft帳戶 的使用者使用 -- 例如 Hotmail、Live、Skype 和 Xbox 帳戶。
在 [ 重新導向 URI] 區段中,選取 下拉式方塊中的 [Web ],然後輸入下列重新導向 URI:
http://localhost:8080/msal4j-servlet-auth/auth/redirect。
選取 [暫存器] 以建立應用程式。
在應用程式的註冊頁面上,尋找並複製 應用程式 (用戶端) 識別碼 值,以供稍後使用。 您會在應用程式的組態檔或檔案中使用此值。
在應用程式的註冊頁面上,選取 瀏覽窗格中的 [憑證和秘密 ],以開啟頁面以產生秘密並上傳憑證。
在用戶端密碼區段底下,選取新增用戶端密碼。
輸入描述 - 例如, 應用程式秘密。
選取其中一個可用的持續時間: 在1年、 2年內或 永不過期。
選取 [新增]。 產生的值隨即顯示。
複製並儲存產生的值,以供後續步驟使用。 您需要此值才能用於程式代碼的組態檔。 此值不會再次顯示,而且您無法透過任何其他方式加以擷取。 因此,請務必先從 Azure 入口網站 儲存它,再流覽至任何其他畫面或窗格。
設定應用程式以使用您的應用程式註冊
使用下列步驟來設定應用程式:
注意
在下列步驟中,ClientID與 或 AppId相同Application ID。
在 IDE 中開啟專案。
開啟 ./src/main/resources/authentication.properties 檔案。
尋找字串
{enter-your-tenant-id-here}。 以下欄其中一個值取代現有的值:- 如果您僅向 此組織目錄中 的帳戶註冊應用程式,則Microsoft Entra ID 租使用者標識碼。
- 如果您在任何組織目錄選項的 [帳戶] 中註冊應用程式,則為這個字
organizations。 - 如果您使用任何組織目錄中的帳戶和個人Microsoft帳戶選項註冊應用程式,則為這個字
common。 - 如果您使用 [個人Microsoft帳戶] 選項註冊應用程式,則為這個字
consumers。
尋找字串
{enter-your-client-id-here},並將現有的值取代為從 Azure 入口網站 複製的應用程式識別碼或clientIdjava-servlet-webapp-authentication應用程式。尋找字串
{enter-your-client-secret-here},並將現有的值取代為您在java-servlet-webapp-authentication建立應用程式期間儲存的值,並在 Azure 入口網站 中。
建置範例
若要使用 Maven 建置範例,請流覽至包含 範例pom.xml 檔案的目錄,然後執行下列命令:
mvn clean package
此命令會產生 您可以在各種應用程式伺服器上執行的 .war 檔案。
執行範例
下列各節說明如何將範例部署至 Azure App 服務。
必要條件
適用於 Azure App 服務 應用程式的 Maven 外掛程式
如果 Maven 不是您慣用的開發工具,請參閱下列使用其他工具的類似教學課程:
設定 Maven 外掛程式
當您部署至 Azure App 服務 時,部署會自動使用 Azure CLI 中的 Azure 認證。 如果 Azure CLI 未安裝在本機,則 Maven 外掛程式會使用 OAuth 或裝置登入進行驗證。 如需詳細資訊,請參閱使用 Maven 外掛程式進行驗證。
使用下列步驟來設定外掛程式:
執行下列命令來設定部署。 此命令可協助您設定 Azure App 服務 操作系統、Java 版本和 Tomcat 版本。
mvn com.microsoft.azure:azure-webapp-maven-plugin:2.13.0:config針對 [ 建立新的執行組態],按 Y,然後按 Enter。
針對 [定義 OS 的值],針對 Windows 按 1,或針對 Linux 按 2,然後按 Enter。
針對 [ 定義 javaVersion 的值],按 2 for Java 11,然後按 Enter。
針對 [ 定義 webContainer 的值],按 4 for Tomcat 9.0,然後按 Enter。
針對 [ 定義 pricingTier 的值],按 Enter 以選取預設 P1v2 層。
針對 [確認],按 Y,然後按 Enter。
下列範例顯示部署程式的輸出:
Please confirm webapp properties
AppName : msal4j-servlet-auth-1707209552268
ResourceGroup : msal4j-servlet-auth-1707209552268-rg
Region : centralus
PricingTier : P1v2
OS : Linux
Java Version: Java 11
Web server stack: Tomcat 9.0
Deploy to slot : false
Confirm (Y/N) [Y]: [INFO] Saving configuration to pom.
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 37.112 s
[INFO] Finished at: 2024-02-06T08:53:02Z
[INFO] ------------------------------------------------------------------------
確認您的選擇之後,外掛程式會將必要的外掛程式元素和設定新增至專案的pom.xml檔案,以將您的應用程式設定為在 Azure App 服務 中執行。
pom.xml檔案的相關部分看起來應該類似下列範例:
<build>
<plugins>
<plugin>
<groupId>com.microsoft.azure</groupId>
<artifactId>>azure-webapp-maven-plugin</artifactId>
<version>x.xx.x</version>
<configuration>
<schemaVersion>v2</schemaVersion>
<resourceGroup>your-resourcegroup-name</resourceGroup>
<appName>your-app-name</appName>
...
</configuration>
</plugin>
</plugins>
</build>
您可以直接在pom.xml中修改 App Service 的設定。 下表列出一些常見的設定:
| 屬性 | 必要 | 描述 |
|---|---|---|
subscriptionId |
false | 訂用帳戶標識碼。 |
resourceGroup |
true | 應用程式的 Azure 資源群組。 |
appName |
true | 應用程式的名稱。 |
region |
false | 裝載您應用程式的區域。 預設值是 centralus。 如需有效的區域,請參閱 支援的區域。 |
pricingTier |
false | 應用程式的定價層。 預設值是 P1v2 生產工作負載。 Java 開發和測試的建議最小值為 B2。 如需詳細資訊,請參閱 App Service定價。 |
runtime |
false | 執行時間環境設定。 如需詳細資訊,請參閱設定詳細資料。 |
deployment |
false | 部署設定。 如需詳細資訊,請參閱設定詳細資料。 |
如需設定的完整清單,請參閱外掛程式參考文件。 所有 Azure Maven 外掛程式都會共用一組常見的組態。 如需這些組態,請參閱 一般組態。 如需 Azure App 服務 特定的設定,請參閱 Azure 應用程式:設定詳細數據。
請務必保留 appName 和 resourceGroup 值,以供日後使用。
準備應用程式以進行部署
當您將應用程式部署至 App Service 時,重新導向 URL 會變更為已部署應用程式實例的重新導向 URL。 使用下列步驟來變更屬性檔案中的這些設定:
流覽至應用程式的 authentication.properties 檔案,並將 的值
app.homePage變更為已部署應用程式的功能變數名稱,如下列範例所示。 例如,如果您在上一個步驟中為應用程式名稱選擇example-domain,您現在https://example-domain.azurewebsites.net必須使用 此值app.homePage。 請確定您也已將通訊協定從http變更為https。# app.homePage is by default set to dev server address and app context path on the server # for apps deployed to azure, use https://your-sub-domain.azurewebsites.net app.homePage=https://<your-app-name>.azurewebsites.net儲存此檔案之後,請使用下列命令重建您的應用程式:
mvn clean package
重要
在這個相同的 authentication.properties 檔案中,您有 一個 設定。aad.secret 將此值部署至 App Service 不是很好的做法。 在程序代碼中保留此值並可能將其推送至 Git 存放庫,這兩者都不是很好的做法。 若要從程式代碼中移除此秘密值,您可以在部署至 App Service - 移除秘密一節中找到更詳細的指引。 本指南會新增額外的步驟,以將秘密值推送至 金鑰保存庫 並使用 金鑰保存庫 References。
更新您的 Microsoft Entra ID 應用程式註冊
因為將重新導向 URI 變更為已部署的應用程式 Azure App 服務,因此您也需要變更 Microsoft Entra ID 應用程式註冊中的重新導向 URI。 請使用下列步驟來進行此變更:
流覽至 適用於開發人員的 Microsoft 身分識別平台 應用程式註冊 頁面。
使用搜尋方塊來搜尋您的應用程式註冊 ,例如
java-servlet-webapp-authentication。選取應用程式名稱以開啟您的應用程式註冊。
從選單中選擇 驗證。
在 [Web - 重新導向 URI] 區段中,選取 [新增 URI]。
填寫應用程式的 URI,並附加
/auth/redirect-例如https://<your-app-name>.azurewebsites.net/auth/redirect。選取儲存。
部署應用程式
您現在已準備好將應用程式部署至 Azure App 服務。 使用下列命令,確定您已登入 Azure 環境以執行部署:
az login
在pom.xml檔案中備妥所有組態後,您現在可以使用下列命令將 Java 應用程式部署至 Azure:
mvn package azure-webapp:deploy
部署完成之後,您的應用程式即可在 就緒 http://<your-app-name>.azurewebsites.net/。 使用本機網頁瀏覽器開啟 URL,您應該會在其中看到應用程式的起始頁面 msal4j-servlet-auth 。
探索範例
使用下列步驟來探索範例:
- 請注意畫面中央顯示的已登入或註銷狀態。
- 選取角落中的上下文相關按鈕。 當您第一次執行應用程式時,此按鈕會 讀取 [登入 ]。
- 在下一個頁面上,遵循指示,並使用 Microsoft Entra ID 租使用者中的帳戶登入。
- 在同意畫面上,請注意所要求的範圍。
- 請注意,上下文相關按鈕現在會顯示 [註銷 ] 並顯示您的用戶名稱。
- 選取 [ 標識符令牌詳細數據 ],以查看一些標識符令牌已譯碼的宣告。
- 使用角落中的按鈕註銷。
- 註銷之後,選取 [ 標識符令牌詳細數據 ],觀察應用程式在使用者未獲授權時顯示
401: unauthorized錯誤,而不是標識符令牌宣告。
關於程式碼
此範例示範如何使用 MSAL for Java (MSAL4J) 將使用者登入您的 Microsoft Entra ID 租使用者。 如果您想要在自己的應用程式中使用 MSAL4J,您必須使用 Maven 將它新增至專案。
如果您想要復寫此範例的行為,您可以在 src/main/java/com/microsoft/azuresamples/msal4j 資料夾中複製pom.xml檔案和協助程式和 authservlet 資料夾的內容。 您也需要 authentication.properties 檔案。 這些類別和檔案包含一般程式代碼,您可以在各種應用程式中使用。 您也可以複製範例的其餘部分,但會特別建置其他類別和檔案,以解決此範例的目標。
目錄
下表顯示範例項目資料夾的內容:
| 檔案/資料夾 | 描述 |
|---|---|
| src/main/java/com/microsoft/azuresamples/msal4j/authwebapp/ | 此目錄包含定義應用程式後端商業規則的類別。 |
| src/main/java/com/microsoft/azuresamples/msal4j/authservlets/ | 此目錄包含用於登入和註銷端點的類別。 |
| ____Servlet.java | 所有可用的端點都定義於以____Servlet.java結尾的類別.java類別中。 |
| src/main/java/com/microsoft/azuresamples/msal4j/helpers/ | 驗證的協助程序類別。 |
| AuthenticationFilter.java | 將未經驗證的要求重新導向至受保護的端點至 401 頁面。 |
| src/main/resources/authentication.properties | Microsoft Entra 識別碼和程序設定。 |
| src/main/webapp/ | 此目錄包含 UI - JSP 範本 |
| CHANGELOG.md | 範例的變更清單。 |
| CONTRIBUTING.md | 參與範例的指導方針。 |
| 許可證 | 範例的授權。 |
ConfidentialClientApplication
ConfidentialClientApplication實例會在 AuthHelper.java 檔案中建立,如下列範例所示。 此對象有助於製作Microsoft Entra ID 授權 URL,也有助於交換存取令牌的驗證令牌。
// getConfidentialClientInstance method
IClientSecret secret = ClientCredentialFactory.createFromSecret(SECRET);
confClientInstance = ConfidentialClientApplication
.builder(CLIENT_ID, secret)
.authority(AUTHORITY)
.build();
下列參數用於具現化:
- 應用程式的用戶端識別碼。
- 客戶端密碼,這是機密用戶端應用程式的需求。
- Microsoft Entra 識別符授權單位,其中包含您的Microsoft Entra ID 租使用者標識符。
在此範例中,這些值會使用 Config.java 檔案中的屬性讀取器,從 authentication.properties 檔案讀取。
逐步解說
下列步驟提供應用程式的功能的逐步解說:
登入程式的第一個步驟是將要求傳送至
/authorize您Microsoft Entra ID 租使用者的端點。 MSAL4JConfidentialClientApplication實例可用來建構授權要求 URL。 應用程式會將瀏覽器重新導向至此 URL,也就是使用者登入的位置。final ConfidentialClientApplication client = getConfidentialClientInstance(); AuthorizationRequestUrlParameters parameters = AuthorizationRequestUrlParameters.builder(Config.REDIRECT_URI, Collections.singleton(Config.SCOPES)) .responseMode(ResponseMode.QUERY).prompt(Prompt.SELECT_ACCOUNT).state(state).nonce(nonce).build(); final String authorizeUrl = client.getAuthorizationRequestUrl(parameters).toString(); contextAdapter.redirectUser(authorizeUrl);下列清單描述此程式碼的功能:
AuthorizationRequestUrlParameters:必須設定的參數,才能建置 AuthorizationRequestUrl。REDIRECT_URI:其中Microsoft Entra ID 會在收集使用者認證之後重新導向瀏覽器,以及驗證碼。 它必須符合 Azure 入口網站 中Microsoft Entra ID 應用程式註冊中的重新導向 URI。SCOPES: 範圍 是應用程式要求的許可權。 一般而言,三個範圍openid profile offline_access足以接收標識符令牌回應。您可以在 authentication.properties 檔案中找到應用程式所要求的範圍完整清單。 您可以新增更多範圍,例如
User.Read。
使用者會看到 Microsoft Entra ID 發出的登入提示。 如果登入嘗試成功,則會將使用者的瀏覽器重新導向至應用程式的重新導向端點。 對這個端點的有效要求包含 授權碼。
然後,實例
ConfidentialClientApplication會針對標識符令牌交換此授權碼,並從 entra ID Microsoft存取令牌。// First, validate the state, then parse any error codes in response, then extract the authCode. Then: // build the auth code params: final AuthorizationCodeParameters authParams = AuthorizationCodeParameters .builder(authCode, new URI(Config.REDIRECT_URI)).scopes(Collections.singleton(Config.SCOPES)).build(); // Get a client instance and leverage it to acquire the token: final ConfidentialClientApplication client = AuthHelper.getConfidentialClientInstance(); final IAuthenticationResult result = client.acquireToken(authParams).get();下列清單描述此程式碼的功能:
AuthorizationCodeParameters:必須設定的參數,才能交換標識符和/或存取令牌的授權碼。authCode:在重新導向端點收到的授權碼。REDIRECT_URI:必須再次傳遞上一個步驟中使用的重新導向 URI。SCOPES:必須再次傳遞上一個步驟中使用的範圍。
如果
acquireToken成功,則會擷取權杖宣告。 如果 nonce 檢查通過,結果會放在context- 實例IdentityContextData中,並儲存至會話。 然後,應用程式可以透過IdentityContextAdapterServlet實例從會話具現化IdentityContextData,只要需要存取它,如下列程式代碼所示:// parse IdToken claims from the IAuthenticationResult: // (the next step - validateNonce - requires parsed claims) context.setIdTokenClaims(result.idToken()); // if nonce is invalid, stop immediately! this could be a token replay! // if validation fails, throws exception and cancels auth: validateNonce(context); // set user to authenticated: context.setAuthResult(result, client.tokenCache().serialize());
保護路由
如需範例應用程式如何篩選路由存取的資訊,請參閱 AuthenticationFilter.java。 在 authentication.properties 檔案中app.protect.authenticated,屬性包含只有已驗證使用者可以存取的逗號分隔路由,如下列範例所示:
# for example, /token_details requires any user to be signed in and does not require special roles claim(s)
app.protect.authenticated=/token_details
範圍
範圍會告訴Microsoft Entra標識符應用程式所要求的存取層級。
根據要求的範圍,Microsoft Entra ID 會在登入時向用戶顯示同意對話。 如果使用者同意一或多個範圍並取得令牌,則 scopes-consented-to 會編碼為產生的 access_token。
如需應用程式要求的範圍,請參閱 authentication.properties。 MSAL 會要求這三個範圍,且預設會由 Microsoft Entra ID 提供。