我无法使用Postman对Sharepoint Online进行API调用。我已经成功地对Graph API进行了API调用,所以我熟悉我认为应该如何工作。
我已按照以下说明进行设置:
第一篇文章说它不会接受使用客户端机密生成的访问令牌,但是我已经生成了包含机密和证书的令牌,但没有发现任何区别。
调用任何东西时,例如:
https://<tenant>.sharepoint.com/_api/web
我得到了错误:
{"error_description":"Exception of type 'Microsoft.IdentityModel.Tokens.AudienceUriValidationFailedException' was thrown."}
这是我使用v1 / token端点生成的访问令牌的示例:
{
"aud": "https://microsoft.sharepoint-df.com/",
"iss": "https://sts.windows.net/462c0b***********c3708/",
"iat": 1569243291,
"nbf": 1569243291,
"exp": 1569247191,
"aio": "42FgYDiXt***********==",
"app_displayname": "T***********n",
"appid": "00c***********2b",
"appidacr": "2",
"idp": "https://sts.windows.net/46***********708/",
"oid": "2f8a5***********684",
"roles": [
"User.ReadWrite.All",
"TermStore.Read.All",
"Sites.FullControl.All"
],
"sid": "5ab8d57***********0bc",
"sub": "2f8a5***********684",
"tid": "462c0***********708",
"uti": "aHt8d***********9AA",
"ver": "1.0"
}
答案 0 :(得分:0)
正如您在第一篇文章中所看到的那样,SharePoint不支持使用客户端机密生成的访问令牌。
如果对访问令牌进行解码,则会发现对于“ appidacr”,如果使用了客户端ID和客户端密钥,则值为“ 1”。如果使用客户端证书进行身份验证,则值为“ 2”。查看详细信息here。
客户端证书比客户端机密更加安全。它提供双重验证和保护。
您可以参考此3rd-party article,以使用证书获取仅限Azure AD应用程序的访问令牌,并使用此访问令牌访问SharePoint资源。
当然,您在评论中提到的文章也很有帮助。它使用ACS完成身份验证。
答案 1 :(得分:0)
错误消息似乎暗示/ token端点调用中的我的resource参数设置不正确。我认为Microsoft文档中省略了此内容,因为文档是如此分散。 V1应用程序调用SharePoint Online的正确令牌终结点调用如下所示:
Web服务
POST https://login.microsoftonline.com/<TARGET-TENANT-ID OR NAME>/oauth2/token
参数
client_id= <Application ID from Azure Portal>
grant_type=client_credentials
resource= https://<TARGET-TENANT-NAME>.sharepoint.com
client_assertion_type= urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_assertion= <See Link Above to create assertion>
上面的链接省略了如何计算证书JWT的x5t值。您可以使用此:
echo $(openssl x509 -in certificate.pem -fingerprint -noout) | sed 's/SHA1 Fingerprint=//g' | sed 's/://g' | xxd -r -ps | base64
我从这里得到的:How to obtain value of "x5t" using Certificate credentials for application authentication
如果尝试使用客户端机密而不是客户端断言,则会返回一个令牌,但是SharePoint Online REST API将返回:
Unsupported app only token.