从Angular应用程序检索访问令牌后尝试在Java中调用Microsoft Graph API - 腾讯云开发者社区

文章/答案/技术大牛

发布

Office开发者计划-永久白嫖Office365

【在Azure后台仪表盘下申请】，调用Office365 outlook邮箱接口、Azure Active Directory/Microsoft Identity账户登录接口、Microsoft Graph...权限配置注册的应用程序API权限类型有两种，其主要区别如下表所示：权限类型委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...：证书和密码->添加客户端密码确认完成在列表处可以看到生成的记录，点击选择复制值（即客户端密码） b.API调用工具 Microsoft Graph 浏览器是一种基于 Web 的工具...，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft...:8000 JAVA示例 Microsoft Graph & Java 入门 SDK引用：msgraph-sdk-java Java应用创建示例：Github仓库

11.2K3 2

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...；应用使用令牌调用Microsoft Graph API。...4.6 Graph API 异常行为监控部署KQL查询，检测异常API调用模式：// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application...结果：对照组：攻击成功，72小时内读取300封邮件，未触发任何告警；实验组：用户尝试同意时被条件访问策略阻止（62%）；若管理员误批准，Cloud Apps在2小时内标记高风险（28%）；剩余10%在24

2211 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

研究基于实际捕获的恶意应用注册信息、授权日志与API调用轨迹，系统还原了从社会工程诱骗、OAuth同意页面伪造到数据外传的完整攻击链。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...注册后，攻击者配置所需API权限。...3.3 令牌获取与持久化访问用户点击“同意”后，Microsoft将授权码发送至redirect_uri。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

1921 0

将终结点图添加到你的ASP.NET Core应用程序中

最后，我描述了应用程序生命周期中可以检索图形数据的点。..."); } } 然后，我们可以在Startup.Configure()中的UseEndpoints()方法中调用MapGraphVisualisation("/graph")将图形终结点添加到我们的...从集成测试生成终结点图 ASP.NET Core对于运行内存集成测试有很好的设计，它可以在不需要进行网络调用的情况下运行完整的中间件管道和API控制器/Razor页面。...您无法在IHostedService中生成图形一般而言，您可以在应用程序中任何使用依赖项注入或有权访问实例的任何位置通过IServiceProvider访问DfaGraphWriter和EndpointDataSource...如果您要尝试在应用程序生命周期的早期生成图形，则必须小心。尤其是IHostedService。

5.2K2 0

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

上一篇结尾我们成功的拿到了 access_token，并且通过 access_token 验证获取到调用Api资源的结果。...通过User的用户名和密码向认证中心申请访问令牌。　　按照惯例，在postman中直接进行调用order的接口。 ResponseCode:401,提示没有权限。...参数必传这时候，就又有人问了，为什么这里的 scope 参数的值和上面不一样，确实，我也有这个疑问，后来找到微软官方给我的文档解释道： Microsoft Graph 示例中，该值为 https...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点：在为应用配置的所有直接应用程序权限中，终结点应该为与要使用的资源关联的权限颁发令牌使用共享机密访问令牌请求：https://docs.microsoft.com

2.9K1 0

AngularDart4.0 指南- 依赖注入顶

在测试环境中甚至可以创建一个新的Engine？ Engine是依赖于什么的？这个依赖依赖于什么？引擎的新实例是否会对服务器进行异步调用？你当然不希望在测试过程中发生这种情况。...你很少自己创建一个Angular注入器。 Angular在执行应用程序时为您创建注入器，从引导过程中创建的根注入器开始。在注入器可以创建该服务之前，您必须向providers注册注入器。...此记录器从注入的UserService获取用户，该用户服务也在应用程序级别注入。...也许信息在浏览器会话过程中反复改变。还假设注射服务没有独立访问这些信息的来源。这种情况要求工厂提供商。...他们通过调用injector.get（）来检索。如果get（）方法无法解析请求的服务，则会引发错误。您可以使用第二个参数调用get（），如果未找到该服务，则返回该值。

6.7K2 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

在此基础上，通过构建实验环境复现攻击过程，并提供关键代码示例以说明令牌交换与权限提升机制。随后，从身份治理、条件访问策略、日志监控及用户教育四个维度提出系统性防御框架。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。.../devicelogin 并输入代码：ABC123”；用户信以为真，在微软官方页面输入代码并完成MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft...://microsoft.com/devicelogin 输入user_code并完成登录后，上述脚本将成功获取访问令牌。...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

1181 0

移除 View Engine 转用 Ivy，盘点Angular 12的重要更新

事实上，从 Angular 9 开始，新的 Angular 应用程序就默认启用 lvy。...在更新至 Angular 12 之后，应用会通过 ng update 进行更新并自动切换为新的 API。提供相关工具，可使用最新算法将旧版本地化 ID 迁移为新 ID。...向 Angular 语言服务添加一项功能，允许用户直接访问使用模板文件的组件的实际位置。...新增的诊断提示将建议您开启 strictTemplates，借此在语言服务中获得检索编译器选项诊断程序的方法。...新的补丁添加一项 API，用于在文件位置检索某一模板的模板类型检查块（如果有），并选定 TCB 中与发出 TCB 请求的模板节点相对应的 TS 节点。这项功能有助于提高调试效率。

5.9K1 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

授权完成后，攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌（Refresh Token），从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...Microsoft Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep...(5)else:print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：#...当用户在微软官网完成 MFA 验证后，系统认为“这是本人操作”，于是放心地将权限授予请求的应用。而用户根本看不到应用名称——除非仔细点击“查看详细信息”，否则默认只显示“此应用请求访问您的数据”。...部署条件访问（Conditional Access）策略限制高风险操作（如令牌颁发）仅允许从受信任设备、网络或地理位置发起。

1161 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

在此过程中，攻击者不仅捕获用户名与密码，更重要的是截获认证成功后返回的会话Cookie、OAuth 2.0访问令牌及刷新令牌（Refresh Token），从而实现无需凭证重放的持久化账户访问。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等，完全绕过前端UI与MFA提示。...例如，若受害者通常使用Windows 11 + Chrome 124访问Office 365，攻击者将配置代理以相同特征发起API请求，使登录活动在审计日志中呈现为“正常行为”。...（三）浏览器内令牌绑定（DPoP）推动SaaS供应商支持OAuth 2.0 DPoP规范。DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌，该私钥与TLS连接绑定。

2121 0

PwnAuth——一个可以揭露OAuth滥用的利器

API——资源客户端希望访问的目标应用程序。在本例中，Microsoft OneDrive API 终端是资源。资源拥有者允许访问其部分帐户的人员。在本例中，就是你。...服务器可以与API资源相同，或者是另一个不同的组件。在本例中，Microsoft登录门户是“授权服务器”。范围范围定义为第三方应用程序请求的访问类型。...访问令牌可以在设定的时间段内使用，从API资源访问用户的数据，而无需资源所有者采取任何进一步的行动。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...图1：将一个Microsoft App导入PwnAuth 配置完成后，可以使用生成的“授权URL”对潜在受害者进行钓鱼。点击后，PwnAuth将捕获受害者OAuth令牌供以后使用。

2.4K2 0

（翻译）开始使用ABP.CORE模板 (ASP.NET Core with Angular)

在官网完成创建和下载你的项目后，跟随后面的步骤来运行你的应用。下载地址：https://aspnetboilerplate.com/Templates ?...如果在运行过程中出现什么问题，请尝试关闭你的vs然后重新打开。往往在第一次还原包的时候容易失败。...基于令牌的认证如果您想从移动应用程序中使用API /应用程序服务，您可以使用基于令牌的认证机制，就像我们为Angular 客户端那样做。启动模板包括jwtbearer令牌认证基础设施。...For example, we can use the User service to get a list of users: 用户api 经过验证后得到令牌，我们可以用它来调用任何授权的方法。...这个应用程序从主机的appsettings.json文件中获取连接字符串。开始它和Web.Host中的appsettings.json文件一样。确保在配置文件中的连接字符串是要数据库。

3.8K2 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

摘要近年来，随着基于OAuth 2.0协议的身份联合与授权机制在企业级应用中的广泛部署，攻击者逐步将目标从传统凭证窃取转向对授权流程本身的滥用。...尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...然而，在实际部署中，这些前提常被弱化。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers

2601 0

Spring Boot 与 OAuth2

自定义错误：为未经身份验证的用户添加错误消息，并基于Github API添加自定义身份验证。从一个应用程序迁移到功能阶梯的下一个应用程序所需要的更改可以在源代码中跟踪(源代码在Github中)。...你刚刚用OAuth2的编写的应用程序是一个客户端应用程序，它使用授权代码授权从Facebook（授权服务器）获取访问令牌。...客户端是可重用的，因此你还可以使用它与你的授权服务器(在本例中是Facebook)提供的OAuth2资源进行交互(在本例中为Graph API)。...托管授权服务器在本节中，我们将修改我们构建的Github应用程序，使其成为一个成熟的oauth2授权服务器，仍然使用Facebook和Github进行身份验证，但能够创建自己的访问令牌。...现在可以从我们的新授权服务器获得访问令牌。

12.1K12 0

如何在微服务架构中实现安全性？

接下来，当客户端发出包含会话令牌的请求时，SessionBasedSecurityInterceptor 从指定的会话中检索用户信息并建立安全上下文。...请求处理程序（如 OrderDetailsRequestHandler）从安全上下文中检索用户信息使用安全框架正确实现身份验证和访问授权具有挑战性。最好使用经过验证的安全框架。...FTGO 应用程序是传统的 Java EE 应用程序，因此会话是 HttpSession 内存中会话。会话令牌代表着每一个具体的会话，客户端在每个请求中包含会话令牌。...Spring Security 框架使用标准的 Java EE 方法将安全上下文存储在静态的线程局部变量中，任何被调用以处理请求的代码都可以访问该变量。...因为这种令牌的接收方必须对安全服务发起同步 RPC 调用，以验证令牌并检索用户信息。另一种消除对安全服务调用的方法是使用包含有关用户信息的透明令牌。

6K4 0

微服务架构如何保证安全性？

接下来，当客户端发出包含会话令牌的请求时，SessionBasedSecurityInterceptor 从指定的会话中检索用户信息并建立安全上下文。...请求处理程序（如OrderDetailsRequestHandler）从安全上下文中检索用户信息使用安全框架正确实现身份验证和访问授权具有挑战性。最好使用经过验证的安全框架。...FTGO 应用程序是传统的Java EE 应用程序，因此会话是 HttpSession 内存中会话。会话令牌代表着每一个具体的会话，客户端在每个请求中包含会话令牌。...Spring Security 框架使用标准的 Java EE 方法将安全上下文存储在静态的线程局部变量中，任何被调用以处理请求的代码都可以访问该变量。...因为这种令牌的接收方必须对安全服务发起同步 RPC 调用，以验证令牌并检索用户信息。另一种消除对安全服务调用的方法是使用包含有关用户信息的透明令牌。

6.4K4 0

如何在微服务架构中实现安全性？

接下来，当客户端发出包含会话令牌的请求时，SessionBasedSecurityInterceptor 从指定的会话中检索用户信息并建立安全上下文。...请求处理程序（如OrderDetailsRequestHandler）从安全上下文中检索用户信息使用安全框架正确实现身份验证和访问授权具有挑战性。最好使用经过验证的安全框架。...FTGO 应用程序是传统的Java EE 应用程序，因此会话是 HttpSession 内存中会话。会话令牌代表着每一个具体的会话，客户端在每个请求中包含会话令牌。...Spring Security 框架使用标准的 Java EE 方法将安全上下文存储在静态的线程局部变量中，任何被调用以处理请求的代码都可以访问该变量。...因为这种令牌的接收方必须对安全服务发起同步 RPC 调用，以验证令牌并检索用户信息。另一种消除对安全服务调用的方法是使用包含有关用户信息的透明令牌。

6.3K3 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一、引言近年来，随着企业向云办公平台（如Microsoft 365、Google Workspace）的大规模迁移，身份认证体系逐步从传统的用户名/密码模型转向基于令牌（token）的现代协议，其中OAuth...攻击者通过伪造合法服务（如Cloudflare验证页或微软账户修复向导），引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮，实则触发OAuth授权请求，将访问令牌（access...这种转变标志着钓鱼攻击从“凭证窃取”向“权限授予”的范式迁移。攻击目标不再是静态密码，而是动态的、具有时效性的授权令牌；攻击载体不再是可执行文件，而是合法云服务的API接口。...Defender for Cloud Apps或自建SIEM规则，检测以下信号：新注册应用请求高权限；用户短时间内多次授权不同应用；授权后立即调用高风险API（如批量导出邮件）。...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1511 0

凭证窃取主导下的现代网络攻击链演化与防御体系构建

更值得警惕的是，钓鱼攻击成功率在经历短暂下降后再度回升，而勒索软件团伙正通过采购黑市凭证实现“即插即用”式快速渗透。...尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中，一旦主账户凭证失窃，攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄，而平均检测延迟仍超过...例如，一个仅需读取日历的协作工具，常被授予“完全访问邮箱”权限，一旦该应用令牌泄露，攻击者可直接读取高管邮件。...2.2 攻击链中的角色演变在传统攻击模型中，凭证窃取多用于维持持久化访问；而在当前云原生环境中，它已成为初始访问（Initial Access）的首选手段。...此过程中，攻击者无需部署恶意软件，全程利用合法API调用，规避传统EDR检测。思科报告显示，73%的勒索事件中，攻击者在获得凭证后4小时内完成数据加密或外传。

2171 0

JSON Web Token(JWT)教程：一个基于Laravel和AngularJS的例子

当然，如果我们想避免使用JWE的额外开销，另一个选择是将敏感信息保留在我们的数据库中，并且在需要访问敏感数据时，使用我们的token进行额外的API调用。为什么需要Web Tokens?...可重用性：我们可以拥有许多独立的服务器，在多个平台和域（domains）上运行，重复使用相同的令牌来验证用户。很容易构建与其他应用程序共享权限的应用程序。...从API子域中获取限制资源(跨域问题) 在下面JSON web token实例中，我们将采用不同的token验证方法。不同于使用jwt-auth中间件，我们将手动处理异常。...调用进行用户身份验证和样本数据以及用于提供跨域示例数据的API服务器。...在进行AJAX调用时，要获得一些视觉反馈，我们将使用angular-loading-bar script来拦截XHR请求并创建一个加载栏。

35.5K1 0

点击加载更多

Office开发者计划-永久白嫖Office365

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

将终结点图添加到你的ASP.NET Core应用程序中

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

AngularDart4.0 指南- 依赖注入顶

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

移除 View Engine 转用 Ivy，盘点Angular 12的重要更新

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

VoidProxy平台对多因素认证的绕过机制与防御对策研究

PwnAuth——一个可以揭露OAuth滥用的利器

（翻译）开始使用ABP.CORE模板 (ASP.NET Core with Angular)

高级OAuth钓鱼攻击的演化机制与防御体系构建

Spring Boot 与 OAuth2

如何在微服务架构中实现安全性？

微服务架构如何保证安全性？

如何在微服务架构中实现安全性？

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

凭证窃取主导下的现代网络攻击链演化与防御体系构建

JSON Web Token(JWT)教程：一个基于Laravel和AngularJS的例子

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐