个人中心
gpt4 book ai didi

c# - 使用直接获取的 token 问题访问 MS Graph API

转载 作者:太空宇宙 更新时间:2023-11-03 22:35:42 24 4
gpt4 key购买 nike

我的项目基于this on-behalf-of-flow示例。

在我的 web api 中,我有一个不受 [Authorize] 方法限制的接收登录名和密码的方法。我还有一个从 MS Graph API 获取一些信息的受限方法:

[HttpGet]
[Authorize]
[Route("[action]")]
public async Task<IActionResult> Info()
{
    string realAccessToken = await _tokenAcquisition.GetAccessTokenOnBehalfOfUser(HttpContext, scopes).ConfigureAwait(false);
    var userInfoJson = await AzureGraphDataProvider.GetCurrentUserAsync(realAccessToken).ConfigureAwait(false);
...
}

在非受限方法中,我向 Azure 发出发布请求并使用访问 token 取回信息。然后我尝试使用此 token 直接调用 Graph Api 方法,但得到 Unauthorize

由于 on-behalf-of-flow 从 HttpContext 获取 User,只有当我访问不受 [authorize] 方法限制并使用获取的 token 直接从它调用 Graph API 时,我才会收到上述错误。

当前的解决方法是使用获得的 token 调用受限的 web api 方法,然后调用 MS Graph API,因为我猜它会初始化 HttpContext 并代表流工作。

请问有什么更好的办法吗?

[HttpPost]
[Route("[action]")]
public async Task<IActionResult> GetAzureOAuthData([FromBody]dynamic parameters)
{
    string userName = parameters.userName.ToString();
    string password = parameters.password.ToString();
    using (HttpClient client = new HttpClient())
    {
        var oauthEndpoint = new Uri("https://login.microsoftonline.com/organizations/oauth2/v2.0/token");
        var result = await client.PostAsync(oauthEndpoint, new FormUrlEncodedContent(new[]
        {
            new KeyValuePair<string, string>("client_id", _azureOptions.ClientId),
            new KeyValuePair<string, string>("grant_type", "password"),
            new KeyValuePair<string, string>("username", userName),
            new KeyValuePair<string, string>("password", password),
            new KeyValuePair<string, string>("client_secret", _azureOptions.ClientSecret),
            new KeyValuePair<string, string>("client_info", "1"),
            new KeyValuePair<string, string>("scope",
                "openid offline_access profile api://xxxxxxxxxx-xxxxxxxx-xxxxxxxxx/access_as_user api://xxxxxxxxxx-xxxxxxxx-xxxxxxxxx/access_as_admin"),
        })).ConfigureAwait(false);

        var content = await result.Content.ReadAsStringAsync().ConfigureAwait(false);
        var oar = JsonConvert.DeserializeObject<AzureOAuthResult>(content);

        string[] scopes = { "user.read" };

       // doesn't work, unauthorized
       var currentUserContent = await AzureGraphDataProvider.GetCurrentUserAsync(oar.AccessToken).ConfigureAwait(false);
            // It works, but have to call web api method
            using (HttpClient client2 = new HttpClient())
            {
                client2.DefaultRequestHeaders.Add("Authorization", $"Bearer {oar.AccessToken}");
                var currentUserResult = await client2.GetAsync($"{Request.Scheme}://{Request.Host}/api/users/userinfo");
                var currentUserContent = await currentUserResult.Content.ReadAsStringAsync().ConfigureAwait(false);
            }

        return Ok(...);
    }
}

在 AzureGraphDataProvider 中:

public static async Task<string> GetCurrentUserAsync(string accessToken)
{
    HttpClient client = new HttpClient();
    client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
    HttpResponseMessage response = await client.GetAsync(new Uri("https://graph.microsoft.com/v1.0/me")).ConfigureAwait(false);
    if (response.StatusCode == HttpStatusCode.OK)
    {
        return await response.Content.ReadAsStringAsync().ConfigureAwait(false);
    }

    return string.Empty;
}

最佳答案

不要使用 ROPC 密码授权,也不要直接在您的 api 中收集用户名/密码

我看到您希望将用户名和密码直接提供给您的 API,以便使用 ROPC 或密码授权获取 token 。这违反了安全最佳实践,并且还具有功能限制,例如它不适用于 MFA。可以看到this SO post对于类似的讨论,还有许多其他资源可以为您确认相同的内容。 Here是一篇旧文章,但仍然非常详细。并查看最后的一长串限制。

我指的是您分享的这段代码:

public async Task<IActionResult> GetAzureOAuthData([FromBody]dynamic parameters)
{
    string userName = parameters.userName.ToString();
    string password = parameters.password.ToString();
    using (HttpClient client = new HttpClient())
    {
        var oauthEndpoint = new Uri("https://login.microsoftonline.com/organizations/oauth2/v2.0/token");
        var result = await client.PostAsync(oauthEndpoint, new FormUrlEncodedContent(new[]
        {
            new KeyValuePair<string, string>("client_id", _azureOptions.ClientId),
            new KeyValuePair<string, string>("grant_type", "password"),
            new KeyValuePair<string, string>("username", userName),
            new KeyValuePair<string, string>("password", password),

您的非限制方法不起作用的原因

您正在使用密码授予为您自己的 API 获取 token 。然后,您实际上并没有真正使用 On behalf of flow 代表调用您的 API 的用户获取 Microsoft Graph 的 token 。

因此 token 对您的 API 有效,但对 Microsoft Graph API 无效,因此您会收到未经授权的错误。

您称为受限方法的另一个方法通过首先代表用户获取 Microsoft Graph API 的 token 来执行“代表”流程。

string realAccessToken = await _tokenAcquisition.GetAccessTokenOnBehalfOfUser(HttpContext, scopes).ConfigureAwait(false);

更好的想法,如您所愿

调用您的 API 的客户端应用程序应使用委托(delegate)权限和 OAuth 流程(如授权代码授予流程或其他流程,具体取决于您的场景)来为您的 API 获取访问 token 。

API 然后可以使用 On-Behalf-Of 流,就像您在受限方法中所做的那样,以获取 Microsoft Graph API 所需的 token 。

关于c# - 使用直接获取的 token 问题访问 MS Graph API,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55260625/

24 4 0
文章推荐: node.js - 如何使用 Socket.IO 强制限制一个用户的最大连接数?
文章推荐: c# - 无法识别元素 中的属性 "Version"
文章推荐: angularjs - 在 Linux 上运行时检测到内存泄漏 :
文章推荐: c++ - 结合视频和音频流(Qt、OpenCV、PortAudio、libsnd?)
太空宇宙
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com