AADSTS65001:用户或管理员未同意使用 ID 为 <app-id> 的应用程序
AADSTS65001: The user or administrator has not consented to use the application with ID <app-id>
我正在开发一个 Angular + Flask 应用程序,它使用 Microsoft 的 OAuth2(代表用户流程)。我正在尝试从后端调用 API,但出现异常。
这里是app.module.ts中的配置:
export function MSALInstanceFactory(): IPublicClientApplication {
return new PublicClientApplication({
auth: {
clientId: '<application_id_of_spa>',
authority: 'https://login.microsoftonline.com/organizations',
redirectUri: 'http://localhost:4200/'
},
cache: {
cacheLocation: BrowserCacheLocation.LocalStorage,
storeAuthStateInCookie: isIE,
},
system: {
loggerOptions: {
loggerCallback,
logLevel: LogLevel.Info,
piiLoggingEnabled: false
}
}
});
}
export function MSALInterceptorConfigFactory(): MsalInterceptorConfiguration {
const protectedResourceMap = new Map<string, Array<string>>();
protectedResourceMap.set('https://graph.microsoft.com/v1.0/me', ['user.read']);
protectedResourceMap.set('https://api.powerbi.com/v1.0/myorg/', ['https://analysis.windows.net/powerbi/api/.default']);
protectedResourceMap.set('http://localhost:5000/api/v1.0/get_workspaces',['api://<application_id_of_webapi>/.default'])
return {
interactionType: InteractionType.Popup,
protectedResourceMap
};
}
export function MSALGuardConfigFactory(): MsalGuardConfiguration {
return {
interactionType: InteractionType.Popup,
authRequest: {
scopes: ['api://<application_id_of_webapi>/.default'],
},
};
}
然后我使用 acquireTokenPopup msal 函数获取访问令牌。
然后我这样调用我的后端 API:
this.http.get('http://localhost:5000/api/v1.0/get_workspaces')
我的 Flask 网站 API:
@app.route('/api/v1.0/get_workspaces', methods=['GET'])
def get():
current_access_token = request.headers.get("Authorization", None)
msal_client = msal.ConfidentialClientApplication(
client_id=app.config['CLIENT_ID'],
authority=app.config['AUTHORITY'],
client_credential=app.config['CLIENT_SECRET'])
# acquire token on behalf of the user that called this API
arm_resource_access_token = msal_client.acquire_token_on_behalf_of(
user_assertion=current_access_token.split(' ')[1],
scopes=app.config['SCOPE']
)
print( arm_resource_access_token) /////////////////// ******* I'm getting the error here
headers = {
'Authorization': arm_resource_access_token['token_type'] + ' ' + arm_resource_access_token['access_token']}
workspaces= requests.get(app.config['ENDPOINT'] + 'workspaces', headers = headers).json()
print(workspaces)
return jsonify(workspaces)
在我的 angular 控制台中,我得到了这个:
在我的 Flask 终端中,我得到了这个:
AADSTS65001: The user or administrator has not consented to use the application with ID <webapi_ app_id>.
在 Azure 门户中,我注册了 spa 和 web API:
我在后端公开了 API,并在我的前端注册中添加了它。
然后我在授权客户端应用程序中添加我的水疗中心 app_id。
AADSTS65001: The user or administrator has not consented to use the application
此错误通常发生在您在检索访问令牌时未向添加的范围授予管理员同意。
要解决此错误,请检查您是否暴露了 API,如下所示:
转到 Azure 门户 -> Azure Active Directory -> 应用程序注册 -> 你的应用程序 -> 公开一个 API
公开 API 后,确保为其授予 API permissions,如下所示:
转到 Azure 门户 -> Azure Active Directory -> 应用注册 -> 你的应用 -> API 权限 -> 添加权限 -> 我的 APIs -> 你的 API
添加 API 权限后,确保 授予管理员同意 如果需要。
当您尝试获取访问令牌时,请检查您是否启用了以下选项:
转到 Azure 门户 -> Azure Active Directory -> 应用程序注册 -> 你的应用程序 -> 身份验证
如果错误仍然存在,请检查以下链接:
.net - "AADSTS65001: The user or administrator has not consented to use the application" occurs when token is acquired on behalf of a user - Stack Overflow
更新:
正如您在评论中提到的,确保将您的客户端应用程序添加到已知客户端应用程序列表
我正在开发一个 Angular + Flask 应用程序,它使用 Microsoft 的 OAuth2(代表用户流程)。我正在尝试从后端调用 API,但出现异常。
这里是app.module.ts中的配置:
export function MSALInstanceFactory(): IPublicClientApplication {
return new PublicClientApplication({
auth: {
clientId: '<application_id_of_spa>',
authority: 'https://login.microsoftonline.com/organizations',
redirectUri: 'http://localhost:4200/'
},
cache: {
cacheLocation: BrowserCacheLocation.LocalStorage,
storeAuthStateInCookie: isIE,
},
system: {
loggerOptions: {
loggerCallback,
logLevel: LogLevel.Info,
piiLoggingEnabled: false
}
}
});
}
export function MSALInterceptorConfigFactory(): MsalInterceptorConfiguration {
const protectedResourceMap = new Map<string, Array<string>>();
protectedResourceMap.set('https://graph.microsoft.com/v1.0/me', ['user.read']);
protectedResourceMap.set('https://api.powerbi.com/v1.0/myorg/', ['https://analysis.windows.net/powerbi/api/.default']);
protectedResourceMap.set('http://localhost:5000/api/v1.0/get_workspaces',['api://<application_id_of_webapi>/.default'])
return {
interactionType: InteractionType.Popup,
protectedResourceMap
};
}
export function MSALGuardConfigFactory(): MsalGuardConfiguration {
return {
interactionType: InteractionType.Popup,
authRequest: {
scopes: ['api://<application_id_of_webapi>/.default'],
},
};
}
然后我使用 acquireTokenPopup msal 函数获取访问令牌。
然后我这样调用我的后端 API:
this.http.get('http://localhost:5000/api/v1.0/get_workspaces')
我的 Flask 网站 API:
@app.route('/api/v1.0/get_workspaces', methods=['GET'])
def get():
current_access_token = request.headers.get("Authorization", None)
msal_client = msal.ConfidentialClientApplication(
client_id=app.config['CLIENT_ID'],
authority=app.config['AUTHORITY'],
client_credential=app.config['CLIENT_SECRET'])
# acquire token on behalf of the user that called this API
arm_resource_access_token = msal_client.acquire_token_on_behalf_of(
user_assertion=current_access_token.split(' ')[1],
scopes=app.config['SCOPE']
)
print( arm_resource_access_token) /////////////////// ******* I'm getting the error here
headers = {
'Authorization': arm_resource_access_token['token_type'] + ' ' + arm_resource_access_token['access_token']}
workspaces= requests.get(app.config['ENDPOINT'] + 'workspaces', headers = headers).json()
print(workspaces)
return jsonify(workspaces)
在我的 angular 控制台中,我得到了这个:
在我的 Flask 终端中,我得到了这个:
AADSTS65001: The user or administrator has not consented to use the application with ID <webapi_ app_id>.
在 Azure 门户中,我注册了 spa 和 web API:
我在后端公开了 API,并在我的前端注册中添加了它。
然后我在授权客户端应用程序中添加我的水疗中心 app_id。
AADSTS65001: The user or administrator has not consented to use the application
此错误通常发生在您在检索访问令牌时未向添加的范围授予管理员同意。
要解决此错误,请检查您是否暴露了 API,如下所示:
转到 Azure 门户 -> Azure Active Directory -> 应用程序注册 -> 你的应用程序 -> 公开一个 API
公开 API 后,确保为其授予 API permissions,如下所示:
转到 Azure 门户 -> Azure Active Directory -> 应用注册 -> 你的应用 -> API 权限 -> 添加权限 -> 我的 APIs -> 你的 API
添加 API 权限后,确保 授予管理员同意 如果需要。
当您尝试获取访问令牌时,请检查您是否启用了以下选项:
转到 Azure 门户 -> Azure Active Directory -> 应用程序注册 -> 你的应用程序 -> 身份验证
如果错误仍然存在,请检查以下链接:
.net - "AADSTS65001: The user or administrator has not consented to use the application" occurs when token is acquired on behalf of a user - Stack Overflow
更新:
正如您在评论中提到的,确保将您的客户端应用程序添加到已知客户端应用程序列表