Question

我已经创建了一个API（Azure API应用程序），并使用Azure Active Directory（来自APP API）启用了身份验证/身份验证。应用服务已在AAD中注册，到目前为止一切看起来都不错。

我已按照下面帖子中的步骤生成令牌，但令牌似乎无效。

var authContext = new AuthenticationContext("https://login.microsoftonline.com/<guid>/oauth2/authorize");
var credential = new ClientCredential("<clientId>", "<secret_from_aad>");
var result = (AuthenticationResult)authContext.AcquireTokenAsync("http://<api>.azurewebsites.net", credential).Result;
var token = result.AccessToken;

https://msdn.microsoft.com/en-us/library/azure/mt428036.aspx

原始请求如下所示：

GET https://<api>.azurewebsites.net/rest/v1/crm/surveys/all HTTP/1.1
Host: <api>.azurewebsites.net
Connection: close
Accept-Encoding: gzip,deflate
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJ<rest-of-token...>
Host: <api>.azurewebsites.net
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)

回复是

HTTP/1.1 401 Unauthorized
Content-Length: 58
Content-Type: text/html
Server: Microsoft-IIS/8.0
WWW-Authenticate: Bearer realm="<api>.azurewebsites.net"
X-Powered-By: ASP.NET
Set-Cookie: ARRAffinity=dd32cab21d0ca9541343a77c51d355d0781c0e0a4147a2166ecb955fe9d94a60;Path=/;Domain=<api>.azurewebsites.net
Date: Fri, 11 Nov 2016 11:20:49 GMT
Connection: close

You do not have permission to view this directory or page.

我已经挣扎了一段时间，在没有显示登录页面的情况下找到生成令牌的方法，我不确定这是最好的方式（虽然很简单......）。

使用API的系统必须能够以编程方式生成令牌并随请求一起发送。

我创建了一个虚拟AAD，一个虚拟App服务等，并将这个代码示例放在一起：

class Program
    {
        static void Main(string[] args)
        {
            string response = HttpRequest();
            Console.ReadLine();
        }

        public static string HttpRequest()
        {
            string serviceURI = "https://apiappdemo.azurewebsites.net/api/values/";

            //Get the access token
            string token = GetToken();

            HttpWebRequest request = System.Net.WebRequest.Create(serviceURI) as System.Net.HttpWebRequest;
            request.KeepAlive = true;
            request.Method = "GET";
            request.ContentLength = 0;
            request.ContentType = "application/json";
            request.Headers.Add("Authorization", String.Format("Bearer {0}", token));

            using (HttpWebResponse httpResponse = request.GetResponse() as System.Net.HttpWebResponse) //Failing here... 401
            {
                using (StreamReader reader = new System.IO.StreamReader(httpResponse.GetResponseStream()))
                {
                    return reader.ReadToEnd();
                }
            }
        }

        public static string GetToken()
        {
            var authContext = new AuthenticationContext("https://login.microsoftonline.com/b37d6c4c-012f-450c-81c7-406b6b584348/oauth2/authorize");
            var credential = new ClientCredential("7ed0dccb-ade7-4a5e-b286-32b66eb929d1", "1bVIoJyMHsbuYsfuJ7or6krbKvWw3kpKfp69jsQuilw=");
            var result = (AuthenticationResult)authContext.AcquireTokenAsync("https://apiappdemo.azurewebsites.net", credential).Result;
            return result.AccessToken;
        }
    }

任何想法可能出错？

此致麦克

Answer 1

要使令牌适用于受Azure AD保护的应用服务，我们需要使用高级托管模式（请参阅here）。

我们将在Azure AD中使用两个应用程序reigster，首先用于保护应用程序服务。第二个用作客户端请求重新生成。我们需要指定允许的令牌受众，即应用的app id URI（第一个应用）。这是一个供您参考的图：

然后我们可以使用第二个应用程序作为客户端来获取为应用程序服务配置的应用程序的令牌。并确保您在AcquireTokenAsync方法中重新分析的resrouce是预览设置中的audience配置。

Answer 2

替换此行：

authContext.AcquireTokenAsync("https://apiappdemo.azurewebsites.net"
                                   ,credential).Result;

使用：

authContext.AcquireTokenAsync("7ed0dccb-ade7-4a5e-b286-32b66eb929d1"
                                  ,credential).Result;

将您的客户端ID用作资源ID

Azure API应用程序访问令牌（ADAL）无法正常工作

2 个答案: