无法使用Nimbus验证来自Azure的访问令牌签名

在此example之后，我编写了一些代码来验证从Azure隐式流返回的访问令牌。

RemoteJWKSet remoteJWKSet = new RemoteJWKSet(new URL(jwksUri));
JWSKeySelector keySelector = new JWSVerificationKeySelector(JWSAlgorithm.RS256, remoteJWKSet);

ConfigurableJWTProcessor jwtProcessor = new DefaultJWTProcessor<>();

jwtProcessor.setJWTClaimsSetVerifier(new DefaultJWTClaimsVerifier(
      new JWTClaimsSet.Builder().issuer("https://sts.windows.net/3283e312-f73b-47d0-81c6-75e3ac726c21/").build(),
                new HashSet<>(Arrays.asList("sub", "iat", "exp", "scp"))));

jwtProcessor.setJWSKeySelector(keySelector);

JWTClaimsSet claimsSet = jwtProcessor.process(accessToken.getValue(), null);

但验证失败，我得到：

com.nimbusds.jose.proc.BadJWSException: Signed JWT rejected: Invalid signature
    at com.nimbusds.jwt.proc.DefaultJWTProcessor.process(DefaultJWTProcessor.java:378)
    at com.nimbusds.jwt.proc.DefaultJWTProcessor.process(DefaultJWTProcessor.java:303)
    at com.nimbusds.jwt.proc.DefaultJWTProcessor.process(DefaultJWTProcessor.java:294)

我认为我不需要DefaultJWTClaimsVerifier部分，但删除它不会改变任何事情。我只希望它能坚持这个例子。

您知道为什么会发生这种情况吗？

感谢您的帮助。

PS：无法使用jwt.io进行验证。我粘贴了Access_Token和来自jwk的"；key"；部分的第一个条目。

---

解决方案

您需要expose an API scope在Azure中，并让客户端使用它。还要确保访问令牌的JWT报头中没有nonce字段。我的blog post有更多信息。

Azure AD行为

以上行为完全特定于Microsoft，并且在将Azure AD用作提供程序时是必需的：

• JWT标头中带有随机数字段的令牌仅针对MS API(如Graph)设计，并使用内部验证机制。其目的是使这些应用程序始终无法通过自定义API的验证。

• 您自己的自定义API的令牌必须通过请求自定义作用域的客户端检索。请注意，在Azure AD中配置的OAuth客户端可以是一个逻辑条目，而不需要为每个单独的API维护一个。

我认为MS的行为是基于OAuth resource indicators的，虽然我个人倾向于在API中接收访问令牌时使用更主流的scopes、claims和受众检查技术。