无法使用OAuth2对守护程序应用程序验证Microsoft 365电子邮件

时间:2020-08-28 07:21:15

标签: asp.net outlook office365 msal mailkit

我正在构建可读取邮箱并将其转换为票证的守护程序应用程序。此应用将使用OAuth2进行身份验证,通过IMAP / POP3协议连接到M365邮件服务器。我使用MailKit提取电子邮件。默认情况下,它支持OAuth2。它仅需要访问令牌才能替换密码。 我做了什么

使用this guide注册应用。详细信息

  1. 我选择生成客户端机密而不使用证书
  2. 身份验证仅针对此组织目录中的帐户(单个租户)
  3. 以公共客户端身份处理应用程序
  4. API权限
    • Exchange:Mail.ReadWrite并获得管理员同意(应用程序许可)
    • Microsoft Graph:User.Read(来自默认设置)

其余部分保持不变。

using Microsoft.Identity.Client;
using MailKit;
using MailKit.Search;
using MailKit.Security;

const string clientSecret = "xxx";
const string clientId = "yyy";
const string tenant = "zzz";
const string graphApi = "https://graph.microsoft.com/";
const string mailApi = "https://outlook.office.com/";

var apiClient = ConfidentialClientApplicationBuilder.Create(clientId)
    .WithClientSecret(clientSecret)
    .WithAuthority(new System.Uri($"https://login.microsoftonline.com/{tenant}"))
    .Build();
string[] scopes = new[]
{
//    $"{graphApi}.default",

// based on docs: https://docs.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth
//    $"{mailApi}IMAP.AccessAsUser.All",
//    $"{mailApi}POP.AccessAsUser.All",

// based on URI generated when adding permission
//    "https://outlook.office365.com/Mail.ReadWrite",

// trying to guess
//    $"{graphApi}.Mail.ReadWrite",
//    $"{graphApi}/Mail.ReadWrite",
};
var result = await apiClient.AcquireTokenForClient(scopes).ExecuteAsync();
using (var mailClient = new MailKit.Net.Imap.ImapClient())
{
    await mailClient.ConnectAsync("outlook.office365.com", 993, true);
    var auth = new SaslMechanismOAuth2($"user.domain@mytenant.onmicrosoft.com", result.AccessToken);
    await mailClient.AuthenticateAsync(auth);
    var mailBox = await mailClient.GetFolderAsync("INBOX");
    await mailBox.OpenAsync(FolderAccess.ReadWrite);
    var ids = await mailBox.SearchAsync(SearchQuery.All);
    foreach (var id in ids)
    {
        var message = await mailBox.GetMessageAsync(id);
        //message.Dump();
    }
}

我尝试了不同类型的作用域,最终得到以下结果:

  1. 使用$"{graphApi}.default"时获得令牌,但邮件身份验证失败
  2. 其余作用域组合无效: AADSTS70011:提供的请求必须包含“作用域”输入参数。输入参数“ scope”提供的值无效。范围xxx无效。 跟踪ID:210121ba-e915-417a-9220-ade2defd7800 相关编号:e13c86c9-bb88-4326-9e38-39f3b7104a92 时间戳:2020-08-26 08:00:14Z

任何帮助将不胜感激。这是原始MS docs repo的问题副本。

1 个答案:

答案 0 :(得分:0)

不能100%确定这是否适用于您的情况,但是可以:

我们遇到了同样的问题(因此在这里踩到了您的帖子),并首先通过使用不同的流程来请求令牌解决了该问题。除了client_idclient_secret,我们还为要访问的邮箱用户提供密码身份验证的所有详细信息:

POST https://login.microsoftonline.com/[your tenantid]/oauth2/v2.0/token

grant_type=password
username=[username for mailbox]
password=[password for that user]
client_id=[application client id]
client_secret=[application_client_secret]
scope=https://outlook.office365.com/IMAP.AccessAsUser.All openid offline_access

(跳过所有编码,添加换行符等)

然后,使用XOAUTH2为用户[邮箱的用户名]连接到IMAP outlook.office365.com,接收到的令牌可以无缝工作。

相关问题
最新问题