无法访问 Azure 上的 OpenId UserInfo 端点(AADSTS90010:JWT 令牌不能与 UserInfo 端点一起使用)
Cannot access OpenId UserInfo endpoint on Azure (AADSTS90010: JWT tokens cannot be used with the UserInfo endpoint)
我正在尝试使用以下 GET 访问 Office365 Azure 租户上用户的 OpenId UserInfo 端点:
GET https://login.windows.net/common/openid/userinfo HTTP/1.1
Authorization: Bearer eyJ0eXAiOiJ(...remainder deleted for brevity...)
Host: login.windows.net
响应失败,出现“400 Bad Request”和更具体的错误 "AADSTS50063: Credential parsing failed. AADSTS90010: JWT tokens cannot be used with the UserInfo endpoint"
HTTP/1.1 400 Bad Request
Cache-Control: no-cache, no-store
Pragma: no-cache
Content-Type: text/html
Expires: -1
Server: Microsoft-IIS/8.5
x-ms-request-id: ef5c8a50-69b5-40f1-ac5f-9c0fc5180aa2
x-ms-gateway-service-instanceid: ESTSFE_IN_6
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000; includeSubDomains
P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"
WWW-Authenticate: Bearer correlation_id="e5c613a0-0a21-40e1-9ef6- eacf77580608", error="invalid_request", error_codes="[50063, 90010]", error_description="AADSTS50063: Credential parsing failed. AADSTS90010: JWT tokens cannot be used with the UserInfo endpoint.%0d%0aTrace ID: ef5c8a50-69b5-40f1-ac5f-9c0fc5180aa2%0d%0aCorrelation ID: e5c613a0-0a21-40e1-9ef6-eacf77580608%0d%0aTimestamp: 2015-02-20 14:13:42Z", timestamp="2015-02-20 14:13:42Z", trace_id="ef5c8a50-69b5-40f1-ac5f-9c0fc5180aa2"
Set-Cookie: x-ms-gateway-slice=productionb; path=/; secure; HttpOnly
Set-Cookie: stsservicecookie=ests; path=/; secure; HttpOnly
X-Powered-By: ASP.NET
Date: Fri, 20 Feb 2015 14:13:40 GMT
Content-Length: 0
使用的不记名令牌是未过期的访问令牌,适用于其他操作,例如检索 Exchange 电子邮件。
此外,当我对“https://www.googleapis.com/plus/v1/people/me/openIdConnect”处的 openid userinfo 端点使用相同的 GET(作为 gmail 访问方案的一部分)时,它工作正常
我是不是做错了什么?感谢您的帮助!
一些额外信息:
-已经尝试使用 id_token 而不是 access_token,但这没有区别。
-使用的 Oauth 范围是 "profile email"
-请求的资源是“https://outlook.office365.com/”
-客户端应用程序是本机应用程序,并已为 "Windows Azure AD" 和 "Office 365 Exchange Online"
启用所有委派权限
Azure AD 用户信息端点目前不支持使用常规 JWT 访问令牌。相反,您可以通过在对令牌端点的请求中不指定任何资源来获取特定于用户信息的访问令牌。您可以将用户信息端点本身视为一种资源,这需要特殊的令牌格式。
例如授权码情况下:
- 在没有
resource 参数的情况下对 https://login.windows.net/common/oauth2/authorize?... 的 GET 请求,并获取 authorization_code
- POST 使用 authorization_code 请求
https://login.windows.net/common/oauth2/token,同样没有 resource 参数。接收用户信息端点的访问令牌。
- 对
https://login.windows.net/common/openid/userinfo 的 GET 请求将 header 中的访问令牌作为 Authorization: Bearer AAAB(...rest of token...) 传递
我正在尝试使用以下 GET 访问 Office365 Azure 租户上用户的 OpenId UserInfo 端点:
GET https://login.windows.net/common/openid/userinfo HTTP/1.1
Authorization: Bearer eyJ0eXAiOiJ(...remainder deleted for brevity...)
Host: login.windows.net
响应失败,出现“400 Bad Request”和更具体的错误 "AADSTS50063: Credential parsing failed. AADSTS90010: JWT tokens cannot be used with the UserInfo endpoint"
HTTP/1.1 400 Bad Request
Cache-Control: no-cache, no-store
Pragma: no-cache
Content-Type: text/html
Expires: -1
Server: Microsoft-IIS/8.5
x-ms-request-id: ef5c8a50-69b5-40f1-ac5f-9c0fc5180aa2
x-ms-gateway-service-instanceid: ESTSFE_IN_6
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000; includeSubDomains
P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"
WWW-Authenticate: Bearer correlation_id="e5c613a0-0a21-40e1-9ef6- eacf77580608", error="invalid_request", error_codes="[50063, 90010]", error_description="AADSTS50063: Credential parsing failed. AADSTS90010: JWT tokens cannot be used with the UserInfo endpoint.%0d%0aTrace ID: ef5c8a50-69b5-40f1-ac5f-9c0fc5180aa2%0d%0aCorrelation ID: e5c613a0-0a21-40e1-9ef6-eacf77580608%0d%0aTimestamp: 2015-02-20 14:13:42Z", timestamp="2015-02-20 14:13:42Z", trace_id="ef5c8a50-69b5-40f1-ac5f-9c0fc5180aa2"
Set-Cookie: x-ms-gateway-slice=productionb; path=/; secure; HttpOnly
Set-Cookie: stsservicecookie=ests; path=/; secure; HttpOnly
X-Powered-By: ASP.NET
Date: Fri, 20 Feb 2015 14:13:40 GMT
Content-Length: 0
使用的不记名令牌是未过期的访问令牌,适用于其他操作,例如检索 Exchange 电子邮件。
此外,当我对“https://www.googleapis.com/plus/v1/people/me/openIdConnect”处的 openid userinfo 端点使用相同的 GET(作为 gmail 访问方案的一部分)时,它工作正常
我是不是做错了什么?感谢您的帮助!
一些额外信息:
-已经尝试使用 id_token 而不是 access_token,但这没有区别。
-使用的 Oauth 范围是 "profile email"
-请求的资源是“https://outlook.office365.com/”
-客户端应用程序是本机应用程序,并已为 "Windows Azure AD" 和 "Office 365 Exchange Online"
启用所有委派权限Azure AD 用户信息端点目前不支持使用常规 JWT 访问令牌。相反,您可以通过在对令牌端点的请求中不指定任何资源来获取特定于用户信息的访问令牌。您可以将用户信息端点本身视为一种资源,这需要特殊的令牌格式。
例如授权码情况下:
- 在没有
resource参数的情况下对https://login.windows.net/common/oauth2/authorize?...的 GET 请求,并获取 authorization_code - POST 使用 authorization_code 请求
https://login.windows.net/common/oauth2/token,同样没有resource参数。接收用户信息端点的访问令牌。 - 对
https://login.windows.net/common/openid/userinfo的 GET 请求将 header 中的访问令牌作为Authorization: Bearer AAAB(...rest of token...) 传递