Question

我们已经实施了通过图表API发送电子邮件。

在微软应用https://apps.dev.microsoft.com中，我们创建了应用并为此应用设置了权限＆＃39; Mail.Send＆＃39;。

对于身份验证，我们使用方式＆＃34;无需用户访问＃34;。

我们通过此网址接收令牌： https://login.microsoftonline.com/our_tenant/oauth2/v2.0/token 和身体看起来像这样：

"client_id=app_id&scope=https%3A%2F%2Fgraph.microsoft.com%2F.default&client_secret=app_secret_key&grant_type=client_credentials"

使用此链接发送邮件：

在身体json中使用电子邮件对象。

当我们通过此方法发送电子邮件时，会收到回复代码＆＃39; 403＆＃39;带有文字＆＃34;访问被拒绝。检查凭据，然后重试。＆＃34;

在测试之前，我们已经为开发此集成创建了试用帐户。通过试用帐户，这个过程非常完美你能帮忙解决当前的问题吗？也许我们已经忘记了某些事情或帐户存在问题。

祝你好运

Answer 1

每当你遇到这样的问题，你有一个令牌并且你认为你应该有权访问某些东西，但是API返回403时，第一步应该是解析访问令牌。您可以使用https://jwt.io（或任何其他JWT解析器）。您想确认以下内容：

我的猜测是，您可能拥有一个完全没有roles声明的令牌，如果管理员未提供同意，将会发生这种情况。您可以通过查看this section of the Azure article on client credential flow来解决此问题。

Answer 2

为了完整起见，除了 @Jason Johnston 提供的答案之外，对于仍然像我一样遇到问题的未来用户，请注意以下几点：

MS Graph Explorer 不使用客户端凭据流（即传递应用程序客户端 ID 和应用程序客户端机密），而是使用其他一些流（也许有人可以评论确切的流），这意味着它不会代表您的应用程序（假设您的应用程序使用客户端凭据流）。
如果您使用客户端凭据流，请确保查询正确的 API 端点（与 Graph Explorer 中的不同！）否则您将不断收到 403 错误。
- 正确的端点：https://graph.microsoft.com/v1.0/users/{id|userPrincipalName}/sendMail
- 不正确的端点：https://graph.microsoft.com/v1.0/me/sendMail
- 参考：Unable to send email via Microsoft Graph API (C# Console)

奖金

对于解析令牌，以下网站提供了更多信息：https://jwt.ms
要验证您的应用程序，请尝试改用 Postman 或 cURL。获取 cURL 参数的一种快速方法是通过在 Graph Explorer 上发送触发 `sendMail 查询，然后将 HTTP 请求复制为 cURL（如果您的浏览器支持）（见下文）。