如何解决尝试使用 AD 令牌/不记名令牌 [Azure-Blob][Bearer-Token]
我能够CreateContainers、ListContainers、ListBlobs,但是当我尝试发出PUT/DELETE
请求以上传或删除 > Azure 存储 blob 中的文件,但在发出请求后显示以下错误:
403
This request is not authorized to perform this operation using this permission.
{
'content-length': '279','content-type': 'application/xml',server: 'Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0','x-ms-request-id': '4de6c154-f01e-0051-7ce4-1314ef000000','x-ms-version': '2018-03-28','x-ms-error-code': 'AuthorizationPermissionMismatch',date: 'Mon,08 Mar 2021 06:32:44 GMT',connection: 'close'
}
upload/PUT
文件的代码是:
const request = require("request");
require("dotenv").config();
const account = process.env.ACCOUNT_NAME || "";
const containerName = "demo";
const blobName = "dummyfile1.txt";
const blobContent = "Hello,This will be written in file";
const contentLength = new TextEncoder().encode(blobContent).length;
var strTime = new Date().toUTCString();
const options = {
url: `https://${account}.blob.core.windows.net/${containerName}/${blobName}`,headers: {
Authorization: "Bearer <BearerToken>","x-ms-date": strTime,"x-ms-version": "2018-03-28","x-ms-blob-type": "BlockBlob","Content-Length": contentLength,"Content-Type": 'application/text-plain',},body: blobContent,};
function callback(error,response,body) {
console.log(response.statusCode);
console.log(response.statusMessage);
console.log(response.headers);
}
request.put(options,callback);
在这里,我手动替换了我通过 POSTMAN 通过的那个:
另外,我已经为应用添加了存储数据贡献者的权限:
我也已将 Azure 存储和 user_impersonation 权限委托给应用程序。
但是,同样的错误仍然存在。
解决方法
使用 auth code flow 时,登录用户需要 Azure Storage 的权限。使用 Storage Blob Data Contributor
角色时,您需要将角色分配添加到您的帐户,而不是应用程序(只有客户端凭据流需要应用程序的角色)。
然后将 Azure 存储权限添加到 API 权限。
此外,https://<account-name>.blob.core.windows.net/user_impersonation
和 https://storage.azure.com/user_impersonation
都可以用于作用域。有关 Azure 存储资源 ID(范围)的更多详细信息,请参阅 here。
https://${account}.blob.core.windows.net/.default
或 https://storage.azure.com/.default
适用于客户端凭据流。
步骤:
- 在浏览器中获取授权码
注意:登录 azure 帐户后,您应该接受请求的权限。
https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize?
client_id={client-id}
&response_type=code
&redirect_uri=https://localhost:44300/
&response_mode=query
&scope=https://{account}.blob.core.windows.net/user_impersonation
&state=12345
&prompt=consent
- 获取访问令牌和刷新令牌。尝试解码 https://jwt.io/ 中的访问令牌,检查
aud
,它看起来像https://xxxx.blob.core.windows.net
。
- 最后,在您的代码中测试访问令牌。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。