無論您是構建 Web API、移動前端還是傳統的桌面應用程式，身份和訪問管理始終是軟體開發中基礎且核心的部分。Azure 提供了一個很棒的平臺，可以賦能您的應用程式開發之旅，因為它不僅提供基於雲的身份服務，還與 Azure 生態系統的其他部分深度整合。Spring Security 憑藉強大的抽象和可擴充套件的介面，讓保護您的 Spring 應用變得容易。然而，Spring Framework 雖強大，但並非針對特定的身份提供者量身定製。Azure Active Directory 的 Azure Spring Boot Starter 是 Microsoft 和 VMware 合作的成果，旨在提供將應用程式連線到 Azure AD 租戶並使用 Azure Active Directory 保護資源 API 的最佳方式。舉例來說，在某些場景下，您可能需要針對多個資源伺服器進行授權，您只需在應用程式配置中包含多個授權客戶端即可輕鬆實現。

要開始使用 Azure Active Directory 的 Azure Spring Boot Starter，請將您的應用程式連線到 Azure AD 租戶，並在您的 application.yml 中包含以下配置

azure:
  activedirectory:
    tenant-id: xxxxxx-your-tenant-id-xxxxxx
    client-id: xxxxxx-your-client-id-xxxxxx
    client-secret: xxxxxx-your-client-secret-xxxxxx
    authorization-clients:
      graph:
        scopes:
            - https://graph.microsoft.com/User.Read
            - https://graph.microsoft.com/Directory.AccessAsUser.All

在您的 Controller 中獲取 OAuth2AuthorizedClient

@GetMapping("/graph")
@ResponseBody
public String graph(
    @RegisteredOAuth2AuthorizedClient("graph") OAuth2AuthorizedClient client
) {
// Now you can use the access token to access a graph URI
}

更多詳情，請參閱我們的示例專案。

我們來看一下該 starter 最近的一些增強功能

Web 應用

與 Microsoft API 整合

身份平臺提供了 Microsoft API，可與許多知名的 Microsoft SaaS 應用程式互動。例如，可以使用 Graph API 與 Office 365 互動，使用 Azure DevOps 與 Azure DevOps Server 通訊，使用 Azure Batch 在雲中排程 HPC 應用程式。要使用 Graph API，首先請配置您的 application.yml

azure:
  activedirectory:
    authorization-clients:
      graph:
        scopes:
            - https://graph.microsoft.com/User.Read
            - https://graph.microsoft.com/Directory.AccessAsUser.All

然後在您的 Controller 中獲取 OAuth2AuthorizedClient。

增量同意

您可以根據需要逐步批准您的應用程式訪問資源和 API。當您希望對訪問管理有更精細的控制，而不是一次性授予所有作用域時，這種行為是可取的。要在 Web 應用程式中使用增量同意，請配置您的 application.yml

azure:
  activedirectory:
    authorization-clients:
      arm:
        on-demand: true
        scopes: https://management.core.windows.net/user_impersonation

當應用程式嘗試獲取相應的 OAuth2AuthorizedClient 時，會觸發增量同意。它也可以透過訪問 URL：/login/oauth2/code/{authorization-client} 來觸發

整合 AAD 以進行登出

在您的配置屬性中新增 azure.activedirectory.post-logout-redirect-uri，當用戶執行登出時，您的應用程式將自動登出所有活動會話，然後將使用者重定向到 logout-redirect-uri。

更多詳情請參閱這個 Web 應用程式示例專案。（此示例包含所有 3 個場景）

資源伺服器

受 AAD 保護的資源伺服器

在 OAuth 2.0 中，資源伺服器是使用令牌保護底層資源的應用程式。在此版本中，我們添加了對 Audience 和 Issuer 的驗證，以確保預期的 Audience 和 Issuer 得到遵守。有關詳細資訊，請參閱資源伺服器示例專案。

使用 Spring 資源伺服器實現 On Behalf-of 流

當您的應用程式使用令牌呼叫 API A，而 API A 又呼叫 API B 時，在訪問 API B 之前需要不同的令牌。OAuth 2.0 提供了一種 On-Behalf-Of (OBO) 流，專門用於處理這種常見場景。藉助 Azure Active Directory 的 Azure Spring Boot Starter，您可以委託使用者身份請求並在請求鏈中進行傳播。

有關詳細資訊，請參閱帶 OBO 的資源伺服器示例專案。

其他值得注意的變更

包 ID 變更

為與 Azure SDKs 的其餘部分保持一致，從 3.x 版本開始，Azure Spring Boot starters 的包 ID 已從 azure-[startername]-spring-boot 更名為 azure-spring-boot-[startername]。

最新版本

3.0.0 版本已釋出，支援 Spring Boot 2.2.x 和 2.3.x