如何解决访问令牌不包含所有请求的范围
我有一个 angular 应用程序和一个 DotNet 核心 Web api 应用程序。 web api 公开了 2 个权限。 angular 已经订阅了这些权限(见截图)。
在代码中,我试过了
export const loginRequest: { scopes: string[] } = {
//scopes: ['user.read','openid','profile'],//--> I commented out this line.
scopes: []
};
export const tokenRequest: { scopes: string[] } = {
scopes: ['api://da8b9450-d9b7-4b7f-9667-fdae9a7c8359/API.Access','api://da8b9450-d9b7-4b7f-9667-fdae9a7c8359/API.Write']
};
consentScopes: [
...loginRequest.scopes,...tokenRequest.scopes,],
访问令牌包含我没有要求的范围,但它没有返回我要求的范围。
如何获得我请求的 2 个范围?
感谢您的帮助
编辑 1
这里是配置
auth: {
clientId: '78803184-e866-4966-b372-d98b4feae898',authority: "https://login.microsoftonline.com/{tenantId}/",validateAuthority: true,redirectUri: "http://localhost:4200/",postLogoutRedirectUri: "http://localhost:4200/",navigateToLoginRequestUrl: true,}
编辑 2
这是现在请求的范围。我已删除所有相关图表,例如 user.read
、openid
和 profile
。
{
popUp: !isIE,consentScopes: [
"api://da8b9450-d9b7-4b7f-9667-fdae9a7c8359/API.Access","api://da8b9450-d9b7-4b7f-9667-fdae9a7c8359/API.Write"
],unprotectedResources: ["https://localhost:5001"],protectedResourceMap,extraQueryParameters: {}
}
我仍然收到相同的范围,即即使在客户端到 API 的客户端列表之后。
但是,我查看了发送给 AZURE AD 的请求。这是它的样子。根据此请求,我仍在请求 user.read、openid 和 profile,尽管我已将它们从请求的范围列表中删除。
Request URL: https://login.microsoftonline.com/313200b5-a917-47d1-2233-149b07d5d7b5/oauth2/v2.0/authorize?
response_type=token&scope=user.read openid profile&client_id=78803184-e866-54e3-b200-d98b4feae898
&redirect_uri=http://localhost:4200/
&state=eyJpZCI6IjMwZDJkOGNkLTM2NWUtNGMwOS1iYWY1LTcyZWYyMTU0YWE5ZSIs
InRzIjoxNjExNTUwMDUxLCJtZXRob2QiOiJzaWxlbnRJbnRlcmFjdGlvbiJ9
&nonce=6f25b4e0-71f7-4cde-abf4-cb5545d2507e
&client_info=1&x-client-SKU=MSAL.JS&x-client-Ver=1.4.4
&login_hint=admin@myemail.com
&client-request-id=a68ef0b3-111b-4b1c-a3e7-cdcb075516ca
&prompt=none&response_mode=fragment
编辑 3
我找到了这行代码
const GRAPH_ENDPOINT = 'https://graph.microsoft.com/v1.0/me';
getProfile() {
this.http.get(GRAPH_ENDPOINT)
.toPromise().then(profile => {
this.profile = profile;
});
}
解决方法
移动评论回答:
就像我在评论里说的,你得到的是ms graph api token,它只包含ms graph api的范围。一个令牌不能包含两个 api 的范围。如果您需要获取自定义 api 的范围,您应该获取另一个令牌。
访问令牌根据您要访问的api audience签发,并且是唯一的!一个令牌只能有一个受众,并且您不能使用多个范围来请求访问令牌。
一句话总结:你不能让一个访问令牌同时包含API.Access
API.Write
User.Read
scp声明,因为这是两个的作用域完全不同的 API。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。