尝试使用 AD 令牌/持有者令牌 [Azure-Blob][持有者令牌] 将文件放入 Azure Blob 时授权权限不匹配
Authorization Permission Mismatch when trying to PUT a file in Azure Blob with AD token/ Bearer Token[Azure-Blob][Bearer-Token]
我能够 CreateContainers、ListContainers、ListBlobs 但是当我尝试向 上传 发出 PUT/DELETE 请求时或删除 Azure 存储 blob 中的文件,但发出请求后显示以下错误:
403
This request is not authorized to perform this operation using this permission.
{
'content-length': '279',
'content-type': 'application/xml',
server: 'Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0',
'x-ms-request-id': '4de6c154-f01e-0051-7ce4-1314ef000000',
'x-ms-version': '2018-03-28',
'x-ms-error-code': 'AuthorizationPermissionMismatch',
date: 'Mon, 08 Mar 2021 06:32:44 GMT',
connection: 'close'
}
upload/PUT 文件的代码是:
const request = require("request");
require("dotenv").config();
const account = process.env.ACCOUNT_NAME || "";
const containerName = "demo";
const blobName = "dummyfile1.txt";
const blobContent = "Hello, This will be written in file";
const contentLength = new TextEncoder().encode(blobContent).length;
var strTime = new Date().toUTCString();
const options = {
url: `https://${account}.blob.core.windows.net/${containerName}/${blobName}`,
headers: {
Authorization: "Bearer <BearerToken>",
"x-ms-date": strTime,
"x-ms-version": "2018-03-28",
"x-ms-blob-type": "BlockBlob",
"Content-Length": contentLength,
"Content-Type": 'application/text-plain',
},
body: blobContent,
};
function callback(error, response, body) {
console.log(response.statusCode);
console.log(response.statusMessage);
console.log(response.headers);
}
request.put(options, callback);
这里我手动替换我通过 POSTMAN 获得的那个:
另外,我已经为应用程序添加了存储数据贡献者的权限:
我已将 Azure 存储委托给应用程序 user_impersonation 权限。
但是,同样的错误仍然存在。
使用auth code flow时,您的登录用户需要Azure存储的许可。使用Storage Blob Data Contributor角色时,您需要将角色分配添加到您的帐户而不是应用程序(只有客户端凭证流需要应用程序角色)。
然后将 Azure 存储权限添加到 API 权限。
此外,https://<account-name>.blob.core.windows.net/user_impersonation 和 https://storage.azure.com/user_impersonation 都可以用于作用域。有关 Azure 存储资源 ID(范围)的更多详细信息,请参阅 here。
https://${account}.blob.core.windows.net/.default 或 https://storage.azure.com/.default 适用于客户端凭据流。
步骤:
- 在浏览器中获取授权码
注意:登录 Azure 帐户时,您应该接受请求的权限。
https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize?
client_id={client-id}
&response_type=code
&redirect_uri=https://localhost:44300/
&response_mode=query
&scope=https://{account}.blob.core.windows.net/user_impersonation
&state=12345
&prompt=consent
- 获取访问令牌和刷新令牌。尝试解码 https://jwt.io/ 中的访问令牌,检查
aud,它看起来像 https://xxxx.blob.core.windows.net.
- 最后,在您的代码中测试访问令牌。
我能够 CreateContainers、ListContainers、ListBlobs 但是当我尝试向 上传 发出 PUT/DELETE 请求时或删除 Azure 存储 blob 中的文件,但发出请求后显示以下错误:
403
This request is not authorized to perform this operation using this permission.
{
'content-length': '279',
'content-type': 'application/xml',
server: 'Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0',
'x-ms-request-id': '4de6c154-f01e-0051-7ce4-1314ef000000',
'x-ms-version': '2018-03-28',
'x-ms-error-code': 'AuthorizationPermissionMismatch',
date: 'Mon, 08 Mar 2021 06:32:44 GMT',
connection: 'close'
}
upload/PUT 文件的代码是:
const request = require("request");
require("dotenv").config();
const account = process.env.ACCOUNT_NAME || "";
const containerName = "demo";
const blobName = "dummyfile1.txt";
const blobContent = "Hello, This will be written in file";
const contentLength = new TextEncoder().encode(blobContent).length;
var strTime = new Date().toUTCString();
const options = {
url: `https://${account}.blob.core.windows.net/${containerName}/${blobName}`,
headers: {
Authorization: "Bearer <BearerToken>",
"x-ms-date": strTime,
"x-ms-version": "2018-03-28",
"x-ms-blob-type": "BlockBlob",
"Content-Length": contentLength,
"Content-Type": 'application/text-plain',
},
body: blobContent,
};
function callback(error, response, body) {
console.log(response.statusCode);
console.log(response.statusMessage);
console.log(response.headers);
}
request.put(options, callback);
这里我手动替换我通过 POSTMAN 获得的那个:
另外,我已经为应用程序添加了存储数据贡献者的权限:
我已将 Azure 存储委托给应用程序 user_impersonation 权限。
但是,同样的错误仍然存在。
使用auth code flow时,您的登录用户需要Azure存储的许可。使用Storage Blob Data Contributor角色时,您需要将角色分配添加到您的帐户而不是应用程序(只有客户端凭证流需要应用程序角色)。
然后将 Azure 存储权限添加到 API 权限。
此外,https://<account-name>.blob.core.windows.net/user_impersonation 和 https://storage.azure.com/user_impersonation 都可以用于作用域。有关 Azure 存储资源 ID(范围)的更多详细信息,请参阅 here。
https://${account}.blob.core.windows.net/.default 或 https://storage.azure.com/.default 适用于客户端凭据流。
步骤:
- 在浏览器中获取授权码
注意:登录 Azure 帐户时,您应该接受请求的权限。
https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize?
client_id={client-id}
&response_type=code
&redirect_uri=https://localhost:44300/
&response_mode=query
&scope=https://{account}.blob.core.windows.net/user_impersonation
&state=12345
&prompt=consent
- 获取访问令牌和刷新令牌。尝试解码 https://jwt.io/ 中的访问令牌,检查
aud,它看起来像https://xxxx.blob.core.windows.net.
- 最后,在您的代码中测试访问令牌。