带有Office 365 SOAP的OAuth返回“受众声明值无效”

Question

我一直在尝试使用针对Web应用程序的OAuth集成Office 365 Exchange服务。我们已经有一个内部集成，并且该集成可与带有https://outlook.office365.com/EWS/Exchange.asmx

的Basic [username：password]身份验证一起使用

授权使用： https://login.microsoftonline.com/ / oauth2 / authorize？response_type = code＆prompt = consent＆client_id = [APP_ID]＆redirect_uri = [URL]

使用以下方式获取令牌： 开机自检 https://login.microsoftonline.com/ / oauth2 / token

身体： grant_type = authorization_code＆code = [代码]＆redirect_url = [URL]＆scope = https://outlook.office365.com/calendars.readwrite

我能够成功获得令牌。

我在Azure App注册上设置的

应用程序权限是：

Microsoft Graph权限 读写用户和共享日历 读取用户和共享日历 以用户身份发送邮件 阅读用户日历 拥有对用户日历的完全访问权限

Office 365 Exchange Online权限 读取用户和共享日历 读写用户和共享日历 以用户身份发送邮件 阅读用户日历 读写用户日历

使用获得的令牌，我试图使用创建事件。 https://outlook.office365.com/EWS/Exchange.asmx

标题：

• POST /EWS/Exchange.asmx HTTP / 1.1
• 主持人：outlook.office365.com
• client_request_id：[random_guid]
• 用户代理：APPName
• 授权：不记名[令牌]

身体：

<?xml version="1.0" encoding="UTF-8"?>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages" 
xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types">
<soap:Header>
    <t:RequestServerVersion Version="Exchange2016"/>
</soap:Header>
<soap:Body>
<m:CreateItem SendMeetingInvitations="SendToAllAndSaveCopy">
    <m:Items>
        <t:CalendarItem>
            <t:Subject>Test Event</t:Subject>
            <t:Body BodyType="HTML">Test Body</t:Body>
            <t:Start>2018-11-17T08:00:00.000</t:Start>
            <t:End>2018-11-17T09:00:00.000</t:End>
            <t:StartTimeZone Id="Pacific Standard Time"/>
            <t:EndTimeZone Id="Pacific Standard Time"/>
        </t:CalendarItem>
    </m:Items>
</m:CreateItem>

这是我收到的状态码401的响应：

Server →Microsoft-IIS/10.0
request-id →b6d17647-5285-4c40-9087-3875958750b2
X-CalculatedFETarget →MWHPR1601CU001.internal.outlook.com
X-BackEndHttpStatus →401
X-BackEndHttpStatus →401
Set-Cookie →exchangecookie=947fe20a28e842068b3fe78a71b4e15b; path=/
X-FEProxyInfo →MWHPR1601CA0011.NAMPRD16.PROD.OUTLOOK.COM
X-CalculatedBETarget →MWHPR2001MB1823.namprd20.prod.outlook.com
X-RUM-Validated →1
x-ms-diagnostics →2000003;reason="The audience claim value is invalid 'aud'.";error_category="invalid_resource"
X-BeSku →Gen9
X-DiagInfo →MWHPR2001MB1823
X-BEServer →MWHPR2001MB1823
X-FEServer →MWHPR1601CA0011
X-FEServer →BYAPR05CA0077
X-Powered-By →ASP.NET
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@*", token_types="app_asserted_user_v1 service_asserted_app_v1", authorization_uri="https://login.windows.net/common/oauth2/authorize", error="invalid_token",Basic Realm="",Basic Realm="",Basic Realm=""
Date →Wed, 14 Nov 2018 22:07:28 GMT
Content-Length →0

最近两天我一直在阅读和进行研究，但是在其他开发人员尝试相同集成的地方找不到类似的东西。

能否请您指教？ 也许有人可以解释我在做什么错。

谢谢！

Answer 1

对于EWS，如果您尝试使用AppOnly令牌，则应该请求https://outlook.office365.com/EWS.AccessAsUser.All或https://outlook.office365.com/full_access_as_app的范围。其他受约束的范围对于EWS无效，因为这在这方面有点遗留API。