c# - 在 AuthenticationContext 中使用 UserPasswordCredential 进行身份验证时，使用 GraphServiceClient 获取刷新 token

Question

如果我错过了这篇文章中的某些内容，我深表歉意，因为我在阅读了几个小时后已经束手无策。

我正在尝试编写一个后端服务 (Windows)，它将通过 Azure AD 连接到 MS Graph API。我正在使用 C# 来进行概念验证，但遇到了 MS 文档、博客等的许多问题，相当复杂且质量较差。他们似乎都假设其 API 的使用者是前端桌面或基于浏览器的应用程序。

无论如何，在使用服务帐户的 UserPasswordCredential 成功连接到图表后，我在 AuthenticationContext 响应中收到了一个 token ，但没有刷新 token 信息。 MSDN 建议该方法可能返回刷新信息，但是嘿嘿，它可能不会。

此外，阅读(或尝试阅读)这篇有关 ADAL 3 的博文(自 2015 年起):

http://www.cloudidentity.com/blog/2015/08/13/adal-3-didnt-return-refresh-tokens-for-5-months-and-nobody-noticed/

让我对刷新现在的工作方式感到困惑。这篇文章似乎暗示， token 几乎神奇地在缓存中为您刷新，但在使用我的 POC 进行测试后，情况并非如此。

我还看到了 MS 的这篇文章，它似乎在标题中指出了这一点:

https://msdn.microsoft.com/en-us/office/office365/howto/building-service-apps-in-office-365

但是，这有点离题，要求您注册应用程序、跳过允许访问的弹出框等等。

自从我运行示例以来，我尝试安排重新身份验证，希望在获取初始 token (持续 60 分钟)后 50 分钟获得新 token ，但我只是得到相同的 token 。这意味着在 60 分钟 1 秒时，通过客户端进行的任何调用都会抛出异常(ServiceException，我必须检查其中的文本以查看 token 过期相关信息)。对我来说，无法重新验证和刷新 token 以继续更“无缝”地使用客户端是没有意义的。

这是我的代码的精简示例版本:

namespace O365GraphTest
{
    using Microsoft.Graph;
    using Microsoft.IdentityModel.Clients.ActiveDirectory;
    using Nito.AsyncEx;
    using System;
    using System.Net.Http;
    using System.Net.Http.Headers;
    using System.Threading.Tasks;
    using System.Linq;
    using System.Threading;
    using System.Security;

    public class Program
    {
        // Just use a single HttpClient under the hood so we don't hit any socket limits.
        private static readonly HttpProvider HttpProvider = new HttpProvider(new HttpClientHandler(), false);

        public static void Main(string[] args)
        {
            try
            {
                AsyncContext.Run(() => MainAsync(args));
            }
            catch (Exception ex)
            {
                Console.Error.WriteLine(ex);
            }
        }

        private static async Task MainAsync(string[] args)
        {
            var tenant = "mytenant.onmicrosoft.com";
            var username = $"test.user@{tenant}";
            var password = "fooooooo";
            var token = await GetAccessToken(username, password, tenant);
            var client = GetClient(token)

            // Example of graph call            
            var skusResult = await client.SubscribedSkus.Request().GetAsync();
        }

        private static async Task<string> GetAccessToken(string username, string password, string tenant = null)
        {
            var authString = tenant == null ?
                $"https://login.microsoftonline.com/common/oauth2/token" :
                $"https://login.microsoftonline.com/{tenant}/oauth2/token";

            var authContext = new AuthenticationContext(authString);
            var creds = new UserPasswordCredential(username, password);
            // Generic client ID
            var clientId = "1950a258-227b-4e31-a9cf-717495945fc2";
            var resource = "https://graph.microsoft.com";

            // NOTE: There's no refresh information here, and re-authing for a token pre-expiry doesn't give a new token.
            var authenticationResult = await authContext.AcquireTokenAsync(resource, clientId, creds);

            return authenticationResult.AccessToken;
        }

        private static GraphServiceClient GetClient(string accessToken, IHttpProvider provider = null)
        {
            var delegateAuthProvider = new DelegateAuthenticationProvider((requestMessage) =>
            {
                requestMessage.Headers.Authorization = new AuthenticationHeaderValue("bearer", accessToken);

                return Task.FromResult(0);
            });

            var graphClient = new GraphServiceClient(delegateAuthProvider, provider ?? HttpProvider);

            return graphClient;
        }
    }
}

如果有人可以帮助我解决这个问题，而不仅仅是说“用不同的方式来做”，我将非常感激，因为网上对此似乎很少有讨论(Freenode，IRC)，而且博客和文档都已经过时了在 MSDN 上简洁地描述了该库的特定先前版本等。

Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext.AcquireTokenAsync

AuthenticationContext 类的刷新方法现已删除。

感谢您的建议。

彼得

更新

首先向@Fei Xu 表示歉意并感谢他回答了我的问题，但我无法理解他们一开始所说的要点。

与飞雪聊天后，似乎如果您保留身份验证上下文，您可以使用 AcquireTokenSilentAsync 来获取新的 token ，您不需要处理安排任何刷新/重新身份验证等。只需烘焙一个检查委托(delegate)处理程序(关于您正在调用哪个方法)，这是获取客户端的一部分。

这是我已经测试过的示例代码的更新版本，它似乎可以工作。

namespace O365GraphTest
{
    using Microsoft.Graph;
    using Microsoft.IdentityModel.Clients.ActiveDirectory;
    using Nito.AsyncEx;
    using System;
    using System.Net.Http;
    using System.Net.Http.Headers;
    using System.Threading.Tasks;

    public class Program
    {
        private const string Resource = "https://graph.microsoft.com";

        // Well known ClientID
        private const string ClientId = "1950a258-227b-4e31-a9cf-717495945fc2";

        private static readonly string Tenant = "mytenant.onmicrosoft.com";

        private static readonly HttpProvider HttpProvider = new HttpProvider(new HttpClientHandler(), false);

        private static readonly AuthenticationContext AuthContext = GetAuthenticationContext(Tenant);

        public static void Main(string[] args)
        {
            try
            {
                AsyncContext.Run(() => MainAsync(args));
            }
            catch (Exception ex)
            {
                Console.Error.WriteLine(ex);
            }
        }

        private static async Task MainAsync(string[] args)
        {
            var userName = $"test.user@{Tenant}";
            var password = "fooooooo";
            var cred = new UserPasswordCredential(userName, password);

            // Get the client and make some graph calls with token expiring delays in between.        
            var client = GetGraphClient(cred);
            var skusResult = await client.SubscribedSkus.Request().GetAsync();
            await Task.Delay(TimeSpan.FromMinutes(65));
            var usersResult = await client.Users.Request().GetAsync();
        }

        private static AuthenticationContext GetAuthenticationContext(string tenant = null)
        {
            var authString = tenant == null ?
                $"https://login.microsoftonline.com/common/oauth2/token" :
                $"https://login.microsoftonline.com/{tenant}/oauth2/token";

            return new AuthenticationContext(authString);
        }

        private static GraphServiceClient GetGraphClient(UserPasswordCredential credential)
        {
            var delegateAuthProvider = new DelegateAuthenticationProvider(async (requestMessage) =>
            {
                var result = AuthContext.TokenCache?.Count > 0 ?
                    await AuthContext.AcquireTokenSilentAsync(Resource, ClientId) :
                    await AuthContext.AcquireTokenAsync(Resource, ClientId, credential);
                requestMessage.Headers.Authorization = new AuthenticationHeaderValue("bearer", result.AccessToken);
            });

            return new GraphServiceClient(delegateAuthProvider, HttpProvider);
        }
    }
}

我还获得了 2 篇 MS 文章可供引用:

Authentication scenarios

Azure AD V2.0 endpoint - client credentials flow

我希望这可以帮助其他和我有同样情况的人，因为之前我正在拔头发!

Answer 1

GraphServiceClient类用于操作无法获取access_token或refresh_token的Microsoft Graph。

正如博客提到的最新版本azure-activedirectory-library-for-dotnet库不会向开发人员公开刷新 token 。您可以通过AuthenticationResult.cs查看类(class)。如果调用 AcquireTokenSilentAsync 方法时 token 已过期，此库将帮助刷新 access_token。

因此，在您的场景中，我们应该使用此方法来获取 GraphServiceClient 的访问 token 。然后它将始终为 GraphServiceClient 提供可用的访问 token 。以下是代码供您引用:

string authority = "https://login.microsoftonline.com/{tenant}";
string resource = "https://graph.microsoft.com";
string clientId = "";
string userName = "";
string password = "";
UserPasswordCredential userPasswordCredential = new UserPasswordCredential(userName, password);
AuthenticationContext authContext = new AuthenticationContext(authority);
var result = authContext.AcquireTokenAsync(resource, clientId, userPasswordCredential).Result;
var graphserviceClient = new GraphServiceClient(
    new DelegateAuthenticationProvider(
        (requestMessage) =>
        {
            var access_token = authContext.AcquireTokenSilentAsync(resource, clientId).Result.AccessToken;
            requestMessage.Headers.Authorization = new AuthenticationHeaderValue("bearer", access_token);
            return Task.FromResult(0);
        }));

var a = graphserviceClient.Me.Request().GetAsync().Result;

更新

string authority = "https://login.microsoftonline.com/adfei.onmicrosoft.com";
string resrouce = "https://graph.microsoft.com";
string clientId = "";
string userName = "";
string password = "";
UserPasswordCredential userPasswordCredential = new UserPasswordCredential(userName, password);
AuthenticationContext authContext = new AuthenticationContext(authority);
var result = authContext.AcquireTokenAsync(resrouce, clientId, userPasswordCredential).Result;
var graphserviceClient = new GraphServiceClient(
    new DelegateAuthenticationProvider(
        (requestMessage) =>
        {
            var access_token = authContext.AcquireTokenSilentAsync(resrouce, clientId).Result.AccessToken;
            requestMessage.Headers.Authorization = new AuthenticationHeaderValue("bearer", access_token);
            return Task.FromResult(0);
        }));

var a = graphserviceClient.Me.Request().GetAsync().Result;

//simulate the access_token expired to change the access_token
graphserviceClient.AuthenticationProvider=
     new DelegateAuthenticationProvider(
         (requestMessage) =>
         {
             var access_token = "abc";
             requestMessage.Headers.Authorization = new AuthenticationHeaderValue("bearer", access_token);
             return Task.FromResult(0);
         });
var b = graphserviceClient.Me.Request().GetAsync().Result;

结果: