如何解决无法使用来自 Asp.Net Web API 的代表流调用 graphAPI
我正在尝试在 Asp.net Web API (.net 5) 中实现代表用户。我从移动应用程序收到一个 access_token,将它发送到我的 Web API。 Web API 使用此令牌调用 GRAPH API 以获取用户的个人资料详细信息。 下面是我的代码 启动.cs文件
services.AddAuthentication("JwtBearer")
.AddJwtBearer("JwtBearer",options =>
{
options.MetadataAddress = $"https://login.microsoftonline.com/{Configuration["b2bAzureAppIdentity:TenantId"]}/v2.0/.well-known/openid-configuration";
options.TokenValidationParameters = new TokenValidationParameters()
{
ValidIssuer = $"https://sts.windows.net/{Configuration["b2bAzureAppIdentity:TenantId"]}/",// as audience,both the client id and the identifierUri are allowed (sematically equivalent)
ValidAudiences = new[] { Configuration["b2bAzureAppIdentity:AppIdUri"],Configuration["b2bAzureAppIdentity:ClientId"] }
};
}).AddMicrosoftIdentityWebApi(Configuration,"b2bAzureAppIdentity")
.EnableTokenAcquisitionToCallDownstreamApi()
.AddMicrosoftGraph(Configuration.GetSection("DownstreamApi"))
.AddInMemoryTokenCaches();
controller.cs
[HttpGet("GetMyDetails")]
[AuthorizeForScopes(Scopes = new string[] { "user.read" })]
public async Task<IActionResult> GetMyDetails()
{
var user = await _graphServiceClient.Me.Request().GetAsync();
return new OkObjectResult(user.Photo);
}
Appsettings 采用以下格式
"b2bAzureAppIdentity": {
"Instance": "https://login.microsoftonline.com/","Domain": "","TenantId": "","ClientId": "","ClientSecret": "","AppIdUri": ""},"DownstreamApi": {
"BaseUrl": "https://graph.microsoft.com/v1.0","Scopes": "user.read"},
在 Azure 中,API 权限和范围设置正确,这一点很明显,因为当我从邮递员那里拨打电话时,我能够获取 on_behalf_of 的访问令牌,并通过调用 {{3 }}
在控制器中这一行
var user = await _graphServiceClient.Me.Request().GetAsync();
我收到错误消息:“没有将帐户或登录提示传递给 AcquireTokenSilent 调用。”
我在谷歌上搜索了这个错误,解决方案说用户应该同意范围,但它已经被 Azure 门户中的管理员同意。此外,这在 Postman 中工作的事实使人们相信 APP 和 API 的配置是正确的。 https://graph.microsoft.com/v1.0/me
有人遇到过类似的问题吗?
解决方法
发生这种情况是因为收到的 access_token 未与获取用户详细信息的请求一起发送。以下是如何实现 on behalf of provider 的示例:
// Create a client application.
IConfidentialClientApplication confidentialClientApplication = ConfidentialClientApplicationBuilder
.Create(clientId)
.WithTenantId(tenantID)
// The Authority is a required parameter when your application is configured
// to accept authentications only from the tenant where it is registered.
.WithAuthority(authority)
.WithClientSecret(clientSecret)
.Build();
// Use the API reference to determine which scopes are appropriate for your API request.
// e.g. - https://docs.microsoft.com/en-us/graph/api/user-get?view=graph-rest-1.0&tabs=http
var scopes = new string[] { "User.Read" };
// Create an authentication provider.
ClientCredentialProvider authenticationProvider = new OnBehalfOfProvider(confidentialClientApplication,scopes);
var jsonWebToken = actionContext.Request.Headers.Authorization.Parameter;
var userAssertion = new UserAssertion(jsonWebToken);
// Configure GraphServiceClient with provider.
GraphServiceClient graphServiceClient = new GraphServiceClient(authenticationProvider);
// Make a request
var me = await graphServiceClient.Me.Request().WithUserAssertion(userAssertion).GetAsync();
在这种情况下,令牌被添加到调用 WithUserAssertion
的请求中。
请告诉我这是否有帮助,如果您还有其他问题。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。