Question

当我尝试使用新用户第一次通过活动目录登录到graphexplorer.windowsazure.net时，我得到以下范围：

在我的apps.dev.microsoft.com中，我有以下权限：

为什么我只在访问令牌中获得这两个范围：

Answer 1

通过Application Registration Portal注册的应用使用支持增量同意的 Azure AD v2端点。

这意味着，当您的应用注册确定可以请求的范围时，您仍需要在发出授权请求时指定特定范围。此外，您应该避免预先请求所有范围，而是在特定操作的上下文中根据需要逐步请求范围。因此，请从您拥有的授权请求开始，没有额外的范围，但是当您需要代表用户发送电子邮件时，会发出另一个授权请求，如下所示：

GET https://login.microsoftonline.com/common/oauth2/v2.0/authorize?
    client_id=6731de76-14a6-49ae-97bc-6eba6914391e
    &response_type=code
    &redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
    &response_mode=query
    &scope=
    https%3A%2F%2Fgraph.microsoft.com%2Fmail.send
    &state=12345

有关v2.0端点范围的更多信息，请查看Scopes, permissions, and consent in the Azure Active Directory v2.0 endpoint document。

有关逐步请求范围的应用的示例，请查看此Integrate Microsoft identity and the Microsoft Graph into a web application using OpenID Connect sample。

Answer 2

另请注意，有2种不同的Graph API：

Azure AD Graph （端点： graph.windows.net ，资源管理器：https://graphexplorer.azurewebsites.net/）
Microsoft Graph （端点： graph.microsoft.com ，资源管理器：https://developer.microsoft.com/en-us/graph/graph-explorer）

来自https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-graph-api：

我们强烈建议您使用Microsoft Graph而不是Azure AD Graph API来访问Azure Active Directory资源。我们的开发工作现在集中在Microsoft Graph上，并且Azure AD Graph API没有进一步的增强功能。 Azure AD Graph API可能仍然适用的场景非常有限;有关详细信息，请参阅Office开发人员中心中的Microsoft Graph或Azure AD Graph博客文章。

Answer 3

我不确定屏幕截图的来源，但您要访问的网址不正确。 Graph Explorer的正确URL是https://developer.microsoft.com/en-us/graph/graph-explorer。

Microsoft Graph Explorer同意屏幕提供了错误的范围

3 个答案: