使用直接获取的令牌问题访问 MS Graph API
Accessing MS Graph API with directly obtained token issue
我的项目基于 this on-behalf-of-flow 示例。
在我的网站 api 中,我有一个不受 [Authorize] 方法限制的接收登录名和密码的方法。
我还有一个受限的方法,它从 MS Graph API:
获取一些信息
[HttpGet]
[Authorize]
[Route("[action]")]
public async Task<IActionResult> Info()
{
string realAccessToken = await _tokenAcquisition.GetAccessTokenOnBehalfOfUser(HttpContext, scopes).ConfigureAwait(false);
var userInfoJson = await AzureGraphDataProvider.GetCurrentUserAsync(realAccessToken).ConfigureAwait(false);
...
}
在非受限方法中,我向 Azure 发出 post 请求并使用访问令牌取回信息。然后我尝试使用此令牌直接调用 Graph Api 方法,但得到 Unauthorize.
由于代表流从 HttpContext 获取用户,只有当我访问不受 [authorize] 方法限制并使用获取的令牌直接从它调用 Graph API 时,我才会收到上述错误.
当前的解决方法是使用获得的令牌调用受限网络 api 方法,然后调用 MS Graph API,因为我猜它会初始化 HttpContext 和 on-behalf-of-flow有效。
请问有什么更好的主意吗?
[HttpPost]
[Route("[action]")]
public async Task<IActionResult> GetAzureOAuthData([FromBody]dynamic parameters)
{
string userName = parameters.userName.ToString();
string password = parameters.password.ToString();
using (HttpClient client = new HttpClient())
{
var oauthEndpoint = new Uri("https://login.microsoftonline.com/organizations/oauth2/v2.0/token");
var result = await client.PostAsync(oauthEndpoint, new FormUrlEncodedContent(new[]
{
new KeyValuePair<string, string>("client_id", _azureOptions.ClientId),
new KeyValuePair<string, string>("grant_type", "password"),
new KeyValuePair<string, string>("username", userName),
new KeyValuePair<string, string>("password", password),
new KeyValuePair<string, string>("client_secret", _azureOptions.ClientSecret),
new KeyValuePair<string, string>("client_info", "1"),
new KeyValuePair<string, string>("scope",
"openid offline_access profile api://xxxxxxxxxx-xxxxxxxx-xxxxxxxxx/access_as_user api://xxxxxxxxxx-xxxxxxxx-xxxxxxxxx/access_as_admin"),
})).ConfigureAwait(false);
var content = await result.Content.ReadAsStringAsync().ConfigureAwait(false);
var oar = JsonConvert.DeserializeObject<AzureOAuthResult>(content);
string[] scopes = { "user.read" };
// doesn't work, unauthorized
var currentUserContent = await AzureGraphDataProvider.GetCurrentUserAsync(oar.AccessToken).ConfigureAwait(false);
// It works, but have to call web api method
using (HttpClient client2 = new HttpClient())
{
client2.DefaultRequestHeaders.Add("Authorization", $"Bearer {oar.AccessToken}");
var currentUserResult = await client2.GetAsync($"{Request.Scheme}://{Request.Host}/api/users/userinfo");
var currentUserContent = await currentUserResult.Content.ReadAsStringAsync().ConfigureAwait(false);
}
return Ok(...);
}
}
在 AzureGraphDataProvider 中:
public static async Task<string> GetCurrentUserAsync(string accessToken)
{
HttpClient client = new HttpClient();
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
HttpResponseMessage response = await client.GetAsync(new Uri("https://graph.microsoft.com/v1.0/me")).ConfigureAwait(false);
if (response.StatusCode == HttpStatusCode.OK)
{
return await response.Content.ReadAsStringAsync().ConfigureAwait(false);
}
return string.Empty;
}
不要使用 ROPC 密码授予,也不要直接在您的 api
中收集 username/password
我看到您希望将用户名和密码直接提供给您的 API,以便使用 ROPC 或密码授权获取令牌。这违反了安全最佳实践,并且还具有功能限制,例如它不适用于 MFA。你可以看到 for a similar discussion and there are many other resources which will confirm the same for you. Here 是一篇旧文章,但仍然很详细。并查看最后的一长串限制。
我指的是您分享的这段代码:
public async Task<IActionResult> GetAzureOAuthData([FromBody]dynamic parameters)
{
string userName = parameters.userName.ToString();
string password = parameters.password.ToString();
using (HttpClient client = new HttpClient())
{
var oauthEndpoint = new Uri("https://login.microsoftonline.com/organizations/oauth2/v2.0/token");
var result = await client.PostAsync(oauthEndpoint, new FormUrlEncodedContent(new[]
{
new KeyValuePair<string, string>("client_id", _azureOptions.ClientId),
new KeyValuePair<string, string>("grant_type", "password"),
new KeyValuePair<string, string>("username", userName),
new KeyValuePair<string, string>("password", password),
您的非限制方法不起作用的原因
您正在使用密码授予为自己的 API 获取令牌。然后,您实际上并没有真正使用 On behalf of flow 代表调用您的 API.
的用户获取 Microsoft Graph 的令牌
因此令牌对您的 API 有效,但对 Microsoft Graph API 无效,因此您会收到未经授权的错误。
您称为受限方法的另一个方法通过首先代表用户获取 Microsoft Graph API 的令牌来执行“代表”流程。
string realAccessToken = await _tokenAcquisition.GetAccessTokenOnBehalfOfUser(HttpContext, scopes).ConfigureAwait(false);
更好的想法,如您所愿
调用您的 API 的客户端应用程序应使用委托权限和 OAuth 流程(如授权代码授予流程或其他流程,具体取决于您的情况)为您的 API 获取访问令牌。
API 然后可以使用 On-Behalf-Of 流程,就像您在受限方法中所做的那样,以获取 Microsoft Graph API.
所需的令牌
我的项目基于 this on-behalf-of-flow 示例。
在我的网站 api 中,我有一个不受 [Authorize] 方法限制的接收登录名和密码的方法。 我还有一个受限的方法,它从 MS Graph API:
获取一些信息[HttpGet]
[Authorize]
[Route("[action]")]
public async Task<IActionResult> Info()
{
string realAccessToken = await _tokenAcquisition.GetAccessTokenOnBehalfOfUser(HttpContext, scopes).ConfigureAwait(false);
var userInfoJson = await AzureGraphDataProvider.GetCurrentUserAsync(realAccessToken).ConfigureAwait(false);
...
}
在非受限方法中,我向 Azure 发出 post 请求并使用访问令牌取回信息。然后我尝试使用此令牌直接调用 Graph Api 方法,但得到 Unauthorize.
由于代表流从 HttpContext 获取用户,只有当我访问不受 [authorize] 方法限制并使用获取的令牌直接从它调用 Graph API 时,我才会收到上述错误.
当前的解决方法是使用获得的令牌调用受限网络 api 方法,然后调用 MS Graph API,因为我猜它会初始化 HttpContext 和 on-behalf-of-flow有效。
请问有什么更好的主意吗?
[HttpPost]
[Route("[action]")]
public async Task<IActionResult> GetAzureOAuthData([FromBody]dynamic parameters)
{
string userName = parameters.userName.ToString();
string password = parameters.password.ToString();
using (HttpClient client = new HttpClient())
{
var oauthEndpoint = new Uri("https://login.microsoftonline.com/organizations/oauth2/v2.0/token");
var result = await client.PostAsync(oauthEndpoint, new FormUrlEncodedContent(new[]
{
new KeyValuePair<string, string>("client_id", _azureOptions.ClientId),
new KeyValuePair<string, string>("grant_type", "password"),
new KeyValuePair<string, string>("username", userName),
new KeyValuePair<string, string>("password", password),
new KeyValuePair<string, string>("client_secret", _azureOptions.ClientSecret),
new KeyValuePair<string, string>("client_info", "1"),
new KeyValuePair<string, string>("scope",
"openid offline_access profile api://xxxxxxxxxx-xxxxxxxx-xxxxxxxxx/access_as_user api://xxxxxxxxxx-xxxxxxxx-xxxxxxxxx/access_as_admin"),
})).ConfigureAwait(false);
var content = await result.Content.ReadAsStringAsync().ConfigureAwait(false);
var oar = JsonConvert.DeserializeObject<AzureOAuthResult>(content);
string[] scopes = { "user.read" };
// doesn't work, unauthorized
var currentUserContent = await AzureGraphDataProvider.GetCurrentUserAsync(oar.AccessToken).ConfigureAwait(false);
// It works, but have to call web api method
using (HttpClient client2 = new HttpClient())
{
client2.DefaultRequestHeaders.Add("Authorization", $"Bearer {oar.AccessToken}");
var currentUserResult = await client2.GetAsync($"{Request.Scheme}://{Request.Host}/api/users/userinfo");
var currentUserContent = await currentUserResult.Content.ReadAsStringAsync().ConfigureAwait(false);
}
return Ok(...);
}
}
在 AzureGraphDataProvider 中:
public static async Task<string> GetCurrentUserAsync(string accessToken)
{
HttpClient client = new HttpClient();
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
HttpResponseMessage response = await client.GetAsync(new Uri("https://graph.microsoft.com/v1.0/me")).ConfigureAwait(false);
if (response.StatusCode == HttpStatusCode.OK)
{
return await response.Content.ReadAsStringAsync().ConfigureAwait(false);
}
return string.Empty;
}
不要使用 ROPC 密码授予,也不要直接在您的 api
中收集 username/password我看到您希望将用户名和密码直接提供给您的 API,以便使用 ROPC 或密码授权获取令牌。这违反了安全最佳实践,并且还具有功能限制,例如它不适用于 MFA。你可以看到
我指的是您分享的这段代码:
public async Task<IActionResult> GetAzureOAuthData([FromBody]dynamic parameters)
{
string userName = parameters.userName.ToString();
string password = parameters.password.ToString();
using (HttpClient client = new HttpClient())
{
var oauthEndpoint = new Uri("https://login.microsoftonline.com/organizations/oauth2/v2.0/token");
var result = await client.PostAsync(oauthEndpoint, new FormUrlEncodedContent(new[]
{
new KeyValuePair<string, string>("client_id", _azureOptions.ClientId),
new KeyValuePair<string, string>("grant_type", "password"),
new KeyValuePair<string, string>("username", userName),
new KeyValuePair<string, string>("password", password),
您的非限制方法不起作用的原因
您正在使用密码授予为自己的 API 获取令牌。然后,您实际上并没有真正使用 On behalf of flow 代表调用您的 API.
的用户获取 Microsoft Graph 的令牌因此令牌对您的 API 有效,但对 Microsoft Graph API 无效,因此您会收到未经授权的错误。
您称为受限方法的另一个方法通过首先代表用户获取 Microsoft Graph API 的令牌来执行“代表”流程。
string realAccessToken = await _tokenAcquisition.GetAccessTokenOnBehalfOfUser(HttpContext, scopes).ConfigureAwait(false);
更好的想法,如您所愿
调用您的 API 的客户端应用程序应使用委托权限和 OAuth 流程(如授权代码授予流程或其他流程,具体取决于您的情况)为您的 API 获取访问令牌。
API 然后可以使用 On-Behalf-Of 流程,就像您在受限方法中所做的那样,以获取 Microsoft Graph API.
所需的令牌