401在MVC API中使用Microsoft Azure Active Directory验证OAuth 2.0承载令牌时使用401

Question

我正在MVC中编写 API服务（没有视图，只是API），我想使用通过client_credentials流程获取的 OAuth 2.0令牌（2-有腿的OAuth）。我在Azure管理门户中创建了一个 ActiveDirectory应用程序，并成功获得了不记名令牌（请参见底部邮递员的截图）。

然后我安装了Microsoft.Owin.Security.ActiveDirectory nuget包，创建了一个Owin启动类并在其中编写了以下代码：

public class OwinStartup
{
    public void Configuration(IAppBuilder app)
    {
        // For more information on how to configure your application, visit http://go.microsoft.com/fwlink/?LinkID=316888
        var myoptions = new WindowsAzureActiveDirectoryBearerAuthenticationOptions();
        myoptions.Audience = // my App ID
        myoptions.Tenant = // my tenant
        myoptions.AuthenticationMode = Microsoft.Owin.Security.AuthenticationMode.Passive;
        app.UseWindowsAzureActiveDirectoryBearerAuthentication(myoptions);
    }
}

我添加了一个带有动作的控制器，我希望使用不记名令牌可以访问该动作。

这是控制器：

public class TestController : Controller
{
    [Authorize]
    public JsonResult Index()
    {
        return Json(3, JsonRequestBehavior.AllowGet);
    }
}

我试图用这样的Authorization标题来调用它：

但是，我得到401：“您无权查看此目录或页面”。详情如下：

Module     ManagedPipelineHandler
Notification       ExecuteRequestHandler
Handler    System.Web.Mvc.MvcHandler
Error Code     0x00000000
Requested URL      http://localhost:57872/test
Logon Method       Anonymous
Logon User     Anonymous

看起来我的不记名令牌被忽略了。

我做错了什么？

---

附录：使用client_credentials流在Postman中创建Azure Active Directory OAuth承载令牌：

Answer 1

似乎我可以通过在AD中创建第二个应用程序 - 客户端应用程序，将其授权给服务应用程序，并将身份验证令牌作为客户端而不是服务来请求它。

因此，在令牌请求中，我必须使用客户端应用程序的ID和机密而不是原始ID，并添加另一个参数：＆＃34; resource＆＃34;，其值为服务应用ID：{ {1}}

我的解决方案是基于Microsoft的this good example。通过充当客户端的Web应用程序替换Windows商店应用程序。

Answer 2

我向控制器添加了以下属性，指示它使用特定属性 身份验证过滤器。

[HostAuthentication("Bearer")]
public class someController:ApiController{
}

Answer 3

更改你的TestController，使其派生自ApiController而不是Controller。