我必须创建一个使用Microsoft Graph资源的ASP.NET Core 2.0 Web API应用程序。我尝试使用以下属性的应用程序使用JWT身份验证:
Audience: "CLIENT_ID";
Authority: "https://login.microsoftonline.com/TENANT_ID"
这里的想法是我有一个SPA应用程序,它使用ADAL获取一个访问令牌,该令牌应该用于Web API中的身份验证。获取的令牌在Microsoft Graph Requests中成功进行身份验证,但未通过JWT身份验证。未经授权的响应错误是:
签名无效
以下是反序列化的令牌:
{
"typ": "JWT",
"nonce": "AQABAAAAAABHh4kmS_aKT5XrjzxRAtHzXF_CqRIDpjJHoJWBZWfqGU15M5j1xqsBga7obz1SUDjg3Ft56m4bTqls5nSs1T0ymPVzRTHZ7osxohQx9iRClSAA",
"alg": "RS256",
"x5t": "z44wMdHu8wKsumrbfaK98qxs5YI",
"kid": "z44wMdHu8wKsumrbfaK98qxs5YI"
}.{
"aud": "https://graph.microsoft.com",
"iss": "https://sts.windows.net/TENANT_ID/",
"iat": 1515769573,
"nbf": 1515769573,
"exp": 1515773473,
"acr": "1",
"aio": "Y2NgYHjhxRdU0DHj52u1ANkNv4qnVYoUbA2vYDu/dHHH1UcTUiwA",
"amr": [
"pwd"
],
"app_displayname": "APP_NAME",
"appid": "CLIENT_ID",
"appidacr": "0",
"e_exp": 262800,
"ipaddr": "80.72.72.11",
"name": "NAME",
"oid": "USER_ID",
"platf": "3",
"puid": "1003BFFDA650568E",
"scp": "Directory.ReadWrite.All EduAssignments.ReadWrite Mail.Send User.Read User.ReadBasic.All User.ReadWrite.All",
"sub": "60Oat50bmTi24tObKrBPrjIpotUdZkUl5h0x0I6dLi0",
"tid": "TENANT_ID",
"unique_name": "UNIQUE_NAME",
"upn": "UPN",
"uti": "9z7lfwGNmkmqEO7KpWcKAA",
"ver": "1.0"
}.[Signature]
Jwt.ms表示它是Azure AD V1.0令牌。所以它应该有点有效。我尝试使用MSAL获取Azure AD V2.0令牌,该令牌在Web API中成功进行身份验证,但在尝试创建图形请求时失败。我做错了什么?
修改 我将配置更改为再次使用v2.0令牌,然后尝试使用@ juunas的指南获取图形访问令牌,如下所示:
var userAssertion = new UserAssertion(token, assertionType, email);
var authContext = new AuthenticationContext("https://login.microsoftonline.com/common/v2.0");
var clientCredential = new ClientCredential("CLIENT_ID", "CLIENT_SECRET");
//Acquire access token
var result = await authContext.AcquireTokenAsync("https://graph.microsoft.com", clientCredential, userAssertion);
string graphToken = result.AccessToken;
但是AcquireTokenAsyncMethod会引发以下错误:
令牌发行者与api版本不匹配:版本2令牌可以 仅用于v2端点
我觉得这很奇怪,因为现在为v2.0配置了所有内容,而我的令牌是带有发布者的有效Azure AD v2.0令牌:https://login.microsoftonline.com/TENANT_ID/v2.0
答案 0 :(得分:0)
您的API需要单独的访问令牌。
Azure AD中的访问令牌始终仅适用于单个API /资源。
此外,如果您需要从API调用MS Graph API,您可能需要查看On-Behalf-Of授权:https://joonasw.net/view/azure-ad-on-behalf-of-aspnet-core。
该流程的基本思想是,当您的API获得包含具有用户上下文的访问令牌的调用时,您可以将该令牌+您的API凭据交换为另一个仍具有的API的新访问令牌相同用户的上下文。