如何解决是否可以接收 MS Teams bot消息扩展为租户 ID 指定的访问令牌?
就我而言,我需要接收并保存为我的 MS Teams 机器人(消息扩展)中的 tenantId 指定的访问令牌,以便进一步访问 Graph API。有很多关于将代表用户身份验证流添加到机器人 (https://docs.microsoft.com/en-us/microsoftteams/platform/bots/how-to/authentication/add-authentication?tabs=dotnet%2Cdotnet-sample) 的信息。在这种情况下,我们需要在 Azure 门户上注册附加应用程序(身份提供程序)并将其连接到机器人(OAuth 连接设置)... 但是,就我而言,我需要实现客户端凭据身份验证流程并使用在 Azure 门户上注册的机器人应用程序的凭据(AppId 和机密)接收访问令牌。为了实现这个目标,我可以使用 msal4j 库,例如:
public static String getAppAccessToken(String[] scopes) {
ConfidentialClientApplication cca;
try {
cca = ConfidentialClientApplication.builder(applicationId,ClientCredentialFactory.createFromSecret(applicationSecret))
.authority("https://login.microsoftonline.com/<<tenantId>>/")
.build();
} catch (MalformedURLException e) {
return null;
}
Set<String> scopeSet = Set.of(scopes);
ClientCredentialParameters clientCredentialParam = ClientCredentialParameters.builder(
scopeSet)
.build();
CompletableFuture<IAuthenticationResult> future = cca.acquireToken(clientCredentialParam);
return future.join().accessToken();
}
使用这种方法,我收到了一段时间后过期的令牌。 问题:
- 是否可以使用 MS Teams Bot 内的客户端凭据身份验证流程接收尚未过期的访问令牌(针对特定租户 ID)?
- 我应该使用 Bot Framework SDK 还是 msal4j 库来实现客户端凭据身份验证流程?
- 客户端凭据身份验证流程需要 Azure 门户上的其他身份提供商应用程序(除了 Bot 应用程序)?
解决方法
问题 1:是否可以使用 MS Teams Bot 内的客户端凭据身份验证流程接收尚未过期的访问令牌(针对特定租户 ID)?
=>由于安全机制,访问令牌在一段时间后容易过期,因为 OAuth 2.0 客户端凭据授予流程提供访问令牌而不是模拟用户,这是出于安全原因必须具备的。要生成新的访问令牌,您需要刷新令牌,该令牌在您使用客户端凭据流时不可用,但在使用 auth code grant 时可用。
Q2:我应该使用 Bot Framework SDK 还是 msal4j 库来实现客户端凭据身份验证流程?
=>应该没有问题,如果向机器人应用程序授予了所需的权限,您可以使用机器人身份验证生成令牌。
Q3:客户端凭据身份验证流程需要 Azure 门户上的其他身份提供程序应用程序(除了 Bot 应用程序)?
=>如果您有一个与机器人关联的现有应用程序 ID,则无需创建。我看到文档没有提到这一点,但您不需要在门户中创建新应用程序。您可以直接在 Azure Active Directory 中使用您的应用程序(机器人),并提供所需的权限 => 生成令牌 => 将令牌发送到图形 API 并获取结果。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
