Office 365 Online Exchange(日历)- 禁用对 OData 的访问
Office 365 Online Exchange (Calendars)- Access to OData is disabled
您可以在请求 URL 中看到它正在处理 Office 365 https://outlook.office365.com/api/v1.0/users/{user-email}/calendarview
的 URL
要求:
GET /api/v1.0/users/testuser@testapp.onmicrosoft.com/calendarview HTTP/1.1
Host: outlook.office365.com
User-Agent: myappagent/1.0
Authorization: Bearer eyJ**********
Accept: application/json
Prefer: outlook.timezone=Europe/London
回复:
HTTP/1.1 403 Forbidden
Cache-Control: private
Transfer-Encoding: chunked
Content-Type: application/json;odata.metadata=minimal;odata.streaming=true;IEEE754Compatible=false;charset=utf-8
Server: Microsoft-IIS/10.0
request-id: d5ae24e8-0c34-43b5-a8a3
X-CalculatedFETarget: *******.internal.outlook.com
X-BackEndHttpStatus: 403
X-FEProxyInfo: *********.PROD.OUTLOOK.COM
X-CalculatedBETarget: *********.prod.outlook.com
X-BackEndHttpStatus: 403
X-RUM-Validated: 1
X-BeSku: WCS6
x-ms-appId: ********
OData-Version: 4.0
X-AspNet-Version: 4.0.30319
X-DiagInfo: ********
X-BEServer: ********
X-Proxy-RoutingCorrectness: 1
X-Proxy-BackendServerStatus: 403
X-FEServer: ********
X-Powered-By: ASP.NET
X-FEServer: ********
Date: Fri, 18 Jun 2021 20:22:02 GMT
{
"error":{
"code":"ErrorAccessDenied",
"message":"Access to OData is disabled."
}
}
但我认为它不适用,因为我使用的是 Office 365 日历 API。
当我检查我的访问策略时,它是空的。我假设这意味着没有限制,因此我的应用程序应该没有任何问题。
这些是应用程序的权限(我添加了 Graph API 日历以防万一,但仍然是相同的 403 响应)
更新:
你看过这个博客 post 吗? https://developer.microsoft.com/en-us/outlook/blogs/outlook-rest-api-v1-0-deprecation-update/
您正在使用的 API 已在大约 40 个月前(2017 年 10 月)宣布弃用。并且实际上已于 2021 年 4 月 30 日弃用,所以如果它仍然适用于某些租户,那么你很幸运,但它很快就会 停止 工作。
您可以切换到 outlook api 的 v2 端点,我想那将是最兼容的。但该端点也宣布停用 https://developer.microsoft.com/en-us/outlook/blogs/outlook-rest-api-v2-0-deprecation-notice/
我的建议,享受 outlook api 虽然你还可以,但如果你希望你的应用程序在不久的将来继续工作,请花一点时间转换到新的 Graph 端点。
旧(不相关)答案:
你检查过token的aud声明了吗?复制令牌并将其粘贴到 https://JWT.ms
应该是 https://outlook.office365.com(因为您使用的是旧的 api)。
请问您为什么要创建一个与旧应用程序通信的新应用程序 api?
除了显而易见的内容,您所指的文档还谈到了“允许列表”,如果它是空的,没有应用程序可以访问,那也是可能的。
新的 api(图形端点)有一个选项可以进行资源范围界定(允许具有客户端凭据的应用程序访问某些邮箱而不是所有邮箱)。如果在租户中配置,我会看到类似的错误。
您使用的是非常旧的api端点,建议您使用最新的ms graph api。
对于你的问题,你需要使用client credential flow获取token,然后指定scope为:https://outlook.office365.com/.default.
解析token:
经过长时间的研究和尝试。我意识到解决方案在 (ApplicationAccessPolicy).
参考:
https://docs.microsoft.com/en-us/graph/auth-limit-mailbox-access
有用的 Powershell 命令:
测试应用程序访问策略
获取 ApplicationAccessPolicy
新应用程序访问策略
删除 ApplicationAccessPolicy
设置 ApplicationAccessPolicy
希望这对遇到此问题的任何人有所帮助 ;)
您可以在请求 URL 中看到它正在处理 Office 365 https://outlook.office365.com/api/v1.0/users/{user-email}/calendarview
的 URL要求:
GET /api/v1.0/users/testuser@testapp.onmicrosoft.com/calendarview HTTP/1.1
Host: outlook.office365.com
User-Agent: myappagent/1.0
Authorization: Bearer eyJ**********
Accept: application/json
Prefer: outlook.timezone=Europe/London
回复:
HTTP/1.1 403 Forbidden
Cache-Control: private
Transfer-Encoding: chunked
Content-Type: application/json;odata.metadata=minimal;odata.streaming=true;IEEE754Compatible=false;charset=utf-8
Server: Microsoft-IIS/10.0
request-id: d5ae24e8-0c34-43b5-a8a3
X-CalculatedFETarget: *******.internal.outlook.com
X-BackEndHttpStatus: 403
X-FEProxyInfo: *********.PROD.OUTLOOK.COM
X-CalculatedBETarget: *********.prod.outlook.com
X-BackEndHttpStatus: 403
X-RUM-Validated: 1
X-BeSku: WCS6
x-ms-appId: ********
OData-Version: 4.0
X-AspNet-Version: 4.0.30319
X-DiagInfo: ********
X-BEServer: ********
X-Proxy-RoutingCorrectness: 1
X-Proxy-BackendServerStatus: 403
X-FEServer: ********
X-Powered-By: ASP.NET
X-FEServer: ********
Date: Fri, 18 Jun 2021 20:22:02 GMT
{
"error":{
"code":"ErrorAccessDenied",
"message":"Access to OData is disabled."
}
}
但我认为它不适用,因为我使用的是 Office 365 日历 API。
当我检查我的访问策略时,它是空的。我假设这意味着没有限制,因此我的应用程序应该没有任何问题。
这些是应用程序的权限(我添加了 Graph API 日历以防万一,但仍然是相同的 403 响应)
更新:
你看过这个博客 post 吗? https://developer.microsoft.com/en-us/outlook/blogs/outlook-rest-api-v1-0-deprecation-update/
您正在使用的 API 已在大约 40 个月前(2017 年 10 月)宣布弃用。并且实际上已于 2021 年 4 月 30 日弃用,所以如果它仍然适用于某些租户,那么你很幸运,但它很快就会 停止 工作。
您可以切换到 outlook api 的 v2 端点,我想那将是最兼容的。但该端点也宣布停用 https://developer.microsoft.com/en-us/outlook/blogs/outlook-rest-api-v2-0-deprecation-notice/
我的建议,享受 outlook api 虽然你还可以,但如果你希望你的应用程序在不久的将来继续工作,请花一点时间转换到新的 Graph 端点。
旧(不相关)答案:
你检查过token的aud声明了吗?复制令牌并将其粘贴到 https://JWT.ms
应该是 https://outlook.office365.com(因为您使用的是旧的 api)。
请问您为什么要创建一个与旧应用程序通信的新应用程序 api?
除了显而易见的内容,您所指的文档还谈到了“允许列表”,如果它是空的,没有应用程序可以访问,那也是可能的。
新的 api(图形端点)有一个选项可以进行资源范围界定(允许具有客户端凭据的应用程序访问某些邮箱而不是所有邮箱)。如果在租户中配置,我会看到类似的错误。
您使用的是非常旧的api端点,建议您使用最新的ms graph api。
对于你的问题,你需要使用client credential flow获取token,然后指定scope为:https://outlook.office365.com/.default.
解析token:
经过长时间的研究和尝试。我意识到解决方案在 (ApplicationAccessPolicy).
参考:
https://docs.microsoft.com/en-us/graph/auth-limit-mailbox-access
有用的 Powershell 命令:
测试应用程序访问策略
获取 ApplicationAccessPolicy
新应用程序访问策略
删除 ApplicationAccessPolicy
设置 ApplicationAccessPolicy
希望这对遇到此问题的任何人有所帮助 ;)