我必须创建一个使用Microsoft Graph资源的 ASP.NET Core 2.0 Web API应用程序。我尝试使应用程序使用以下属性的 JWT 身份验证:
Audience: "CLIENT_ID";
Authority: "https://login.microsoftonline.com/TENANT_ID"
这里的想法是,我有一个 SPA 应用程序,它使用 ADAL 获取访问令牌,该令牌应用于 Web API 中的身份验证。获取的令牌在图形请求中成功进行身份验证Microsoft但 JWT 身份验证失败。未经授权的响应错误是:
签名无效
下面是反序列化令牌:
{
"typ": "JWT",
"nonce": "AQABAAAAAABHh4kmS_aKT5XrjzxRAtHzXF_CqRIDpjJHoJWBZWfqGU15M5j1xqsBga7obz1SUDjg3Ft56m4bTqls5nSs1T0ymPVzRTHZ7osxohQx9iRClSAA",
"alg": "RS256",
"x5t": "z44wMdHu8wKsumrbfaK98qxs5YI",
"kid": "z44wMdHu8wKsumrbfaK98qxs5YI"
}.{
"aud": "https://graph.microsoft.com",
"iss": "https://sts.windows.net/TENANT_ID/",
"iat": 1515769573,
"nbf": 1515769573,
"exp": 1515773473,
"acr": "1",
"aio": "Y2NgYHjhxRdU0DHj52u1ANkNv4qnVYoUbA2vYDu/dHHH1UcTUiwA",
"amr": [
"pwd"
],
"app_displayname": "APP_NAME",
"appid": "CLIENT_ID",
"appidacr": "0",
"e_exp": 262800,
"ipaddr": "80.72.72.11",
"name": "NAME",
"oid": "USER_ID",
"platf": "3",
"puid": "1003BFFDA650568E",
"scp": "Directory.ReadWrite.All EduAssignments.ReadWrite Mail.Send User.Read User.ReadBasic.All User.ReadWrite.All",
"sub": "60Oat50bmTi24tObKrBPrjIpotUdZkUl5h0x0I6dLi0",
"tid": "TENANT_ID",
"unique_name": "UNIQUE_NAME",
"upn": "UPN",
"uti": "9z7lfwGNmkmqEO7KpWcKAA",
"ver": "1.0"
}.[Signature]
Jwt.ms 说这是一个Azure AD V1.0令牌。所以它应该有些有效。我尝试使用 MSAL 获取 Azure AD V2.0 令牌,该令牌在 Web API 中成功进行身份验证,但在尝试发出图形请求时失败。我做错了什么?
编辑我更改了我的配置以再次使用 v2.0 令牌,然后尝试使用 @juunas 的指南来获取如下所示的图形访问令牌:
var userAssertion = new UserAssertion(token, assertionType, email);
var authContext = new AuthenticationContext("https://login.microsoftonline.com/common/v2.0");
var clientCredential = new ClientCredential("CLIENT_ID", "CLIENT_SECRET");
//Acquire access token
var result = await authContext.AcquireTokenAsync("https://graph.microsoft.com", clientCredential, userAssertion);
string graphToken = result.AccessToken;
但 AcquireTokenAsyncMethod 会引发以下错误:
令牌颁发者与 api 版本不匹配:版本 2 令牌可以 仅用于 v2 终结点
我觉得这真的很奇怪,因为现在一切都针对 v2.0 进行了配置,并且我的令牌是有效的 Azure AD v2.0 令牌,颁发者:https://login.microsoftonline.com/TENANT_ID/v2.0
您需要为 API 提供单独的访问令牌。
来自 Azure AD 的访问令牌始终仅适用于单个 API/资源。
此外,如果您需要从 API 调用 MS Graph API,您可能需要查看代表授予:https://joonasw.net/view/azure-ad-on-behalf-of-aspnet-core。
该流的基本思想是,当您的 API 收到包含具有用户上下文的访问令牌的调用时,您可以将该令牌 + API 的凭据交换为仍具有相同用户上下文的另一个 API 的新访问令牌。