我在 Azure 中执行了 "Expose an API" 但无法将该范围的令牌获取到客户端程序
I did the "Expose an API" in Azure but cannot get the token for that scope to a client program
我正在尝试构建 WebAPI 并希望使用范围来限制其他客户端应用程序的权限。我在 Expose an API blade 上创建了一个范围 "BuildingAccess",并将另一个客户端应用程序添加到具有该范围的授权列表中。但是,当我使用客户端程序尝试获取具有该范围的令牌时,我得到“AADSTS70011: The provided request must include a 'scope' input parameter. The provided value for the input parameter 'scope' is not valid.”错误
IConfidentialClientApplication app = ConfidentialClientApplicationBuilder.Create("removed")
.WithTenantId("removed")
.WithClientSecret(ClientSecret)
.Build();
List<string> scopes = new List<string>();
scopes.Add(".default");
scopes.Add("https://localhost:44371/BuildingAccess");
AuthenticationResult result = null;
try
{
result = await app.AcquireTokenForClient(scopes).ExecuteAsync();
Console.ForegroundColor = ConsoleColor.Green;
Console.WriteLine("Token acquired \n");
Console.ResetColor();
}
catch (MsalServiceException ex)
when (ex.Message.Contains("AADSTS70011"))
{
// Invalid scope. The scope has to be of the form "https://resourceurl/.default"
// Mitigation: change the scope to be as expected
Console.ForegroundColor = ConsoleColor.Red;
Console.WriteLine("Scope provided is not supported");
Console.ResetColor();
}
似乎唯一有效的格式是将范围设置为 https://localhost:44371/.default。下面我添加 BuildingAccess 范围的所有其他组合都失败,并出现以下错误,因为我尝试了不同的格式。
- 范围
api://333333-2222-1111-0000-aaaaaaaaaaaaa/BuildingAccess https://localhost:44371/.default 无效。
- 范围
api://333333-2222-1111-0000-aaaaaaaaaaaaa/.default api://333333-2222-1111-0000-aaaaaaaaaaaaa/BuildingAccess 无效。
- 范围
.default BuildingAccess 无效。
- 范围
BuildingAccess 无效。
- 范围
api://333333-2222-1111-0000-aaaaaaaaaaaaa/BuildingAccess
- 范围
https://localhost:44371/BuildingAccess 无效。
如果那个工作 https://localhost:44371/.default,那么我的服务器端有一个错误,因为它失败了
Exception thrown:
'Microsoft.IdentityModel.Tokens.SecurityTokenInvalidAudienceException'
in Microsoft.IdentityModel.Tokens.dll
我在客户端收到未经授权的响应。
1.You 应输入正确的格式范围,请务必使用以下格式:api://{Your-Application-ID}/your_scope_name.
2.Then你应该授予权限给API和select管理员同意。
问题是我需要获得管理员同意才能使应用程序之间的权限正常工作。这是对我所在的 Azure 租户的限制操作,所以我不能这样做。
我正在尝试构建 WebAPI 并希望使用范围来限制其他客户端应用程序的权限。我在 Expose an API blade 上创建了一个范围 "BuildingAccess",并将另一个客户端应用程序添加到具有该范围的授权列表中。但是,当我使用客户端程序尝试获取具有该范围的令牌时,我得到“AADSTS70011: The provided request must include a 'scope' input parameter. The provided value for the input parameter 'scope' is not valid.”错误
IConfidentialClientApplication app = ConfidentialClientApplicationBuilder.Create("removed")
.WithTenantId("removed")
.WithClientSecret(ClientSecret)
.Build();
List<string> scopes = new List<string>();
scopes.Add(".default");
scopes.Add("https://localhost:44371/BuildingAccess");
AuthenticationResult result = null;
try
{
result = await app.AcquireTokenForClient(scopes).ExecuteAsync();
Console.ForegroundColor = ConsoleColor.Green;
Console.WriteLine("Token acquired \n");
Console.ResetColor();
}
catch (MsalServiceException ex)
when (ex.Message.Contains("AADSTS70011"))
{
// Invalid scope. The scope has to be of the form "https://resourceurl/.default"
// Mitigation: change the scope to be as expected
Console.ForegroundColor = ConsoleColor.Red;
Console.WriteLine("Scope provided is not supported");
Console.ResetColor();
}
似乎唯一有效的格式是将范围设置为 https://localhost:44371/.default。下面我添加 BuildingAccess 范围的所有其他组合都失败,并出现以下错误,因为我尝试了不同的格式。
- 范围
api://333333-2222-1111-0000-aaaaaaaaaaaaa/BuildingAccess https://localhost:44371/.default无效。 - 范围
api://333333-2222-1111-0000-aaaaaaaaaaaaa/.default api://333333-2222-1111-0000-aaaaaaaaaaaaa/BuildingAccess无效。 - 范围
.default BuildingAccess无效。 - 范围
BuildingAccess无效。 - 范围
api://333333-2222-1111-0000-aaaaaaaaaaaaa/BuildingAccess - 范围
https://localhost:44371/BuildingAccess无效。
如果那个工作 https://localhost:44371/.default,那么我的服务器端有一个错误,因为它失败了
Exception thrown: 'Microsoft.IdentityModel.Tokens.SecurityTokenInvalidAudienceException' in Microsoft.IdentityModel.Tokens.dll
我在客户端收到未经授权的响应。
1.You 应输入正确的格式范围,请务必使用以下格式:api://{Your-Application-ID}/your_scope_name.
2.Then你应该授予权限给API和select管理员同意。
问题是我需要获得管理员同意才能使应用程序之间的权限正常工作。这是对我所在的 Azure 租户的限制操作,所以我不能这样做。