c# - 在 Azure AD 中的交互式身份验证中检索 2 个访问 token

Question

开发信息:Azure 注册移动应用程序、Azure 托管 API、Visual Studio 2019、移动应用程序是在面向 .Net-5 的 Xamarin Forms 中构建的，API 是在面向 .Net-5 的 Asp.Net 中构建的5.

所需工作流程:如果 AcquireTokenSilently 失败，用户将进行交互授权代码流身份验证，并使用 MS Authenticator。经过身份验证后，用户将获得 Graph 和自定义托管 API 的访问 token 。

有效方法:我可以使用 MSAL 库执行 MFA 身份验证，并在移动应用程序中接收访问 token ，但该 token 仅适用于调用 Graph。我还需要能够调用 protected 资源(托管 API)。我最初的想法是 JWT 访问 token 可以与托管 API 以及 Graph 一起使用，但在阅读了更多内容后，我了解到您必须获取两个单独的 token ，以防止两个资源可能具有相同范围的问题)。

我面临的问题是，我认为在进行身份验证时，会有一种简单的方法来获取另一个资源访问 token ，而无需再次进行身份验证。这不就是OpenID认证的重点吗？我最后的想法是使用客户端 ID、客户端 key 从移动应用程序到 protected API 进行隐式身份验证，但我不想在移动应用程序中存储客户端 key ，因为担心它可能会暴露用户敏感的内容。我尝试按照 Microsoft 的文档设置托管 API 的特定范围并将其注册到 Azure 门户中，但这似乎对身份验证部分没有任何影响。我仍然需要针对 API 进行身份验证，但这不是所需的结果。

是否可以对 Graph 进行一次身份验证，然后知道用户已正确进行身份验证，因为他们现在拥有 Graph 的有效 token ，然后以某种方式调用此 protected API，而不必强制他们再次对 protected API 进行身份验证，如果可以的话，如何在不暴露移动应用程序中任何敏感信息(客户端 secret )的情况下做到这一点？

代码

  // Microsoft Authentication client for native/mobile apps
  public static IPublicClientApplication PCA;
  
  //Setting up the PublicClientApplicationBuilder
  //OAuthSettings is a static class with required values (app id, tenant id, etc)
  var builder = PublicClientApplicationBuilder
                            .Create(OAuthSettings.ApplicationId)
                            .WithTenantId(OAuthSettings.TenantId)
                            .WithBroker()
                            .WithRedirectUri(OAuthSettings.RedirectUri);

  PCA = builder.Build();

  //Scopes being used in initial authentication
  //I tried adding to this with a custom scope, I added on the 
  //protected api and it caused an exception, so I didn't think
  //I could use those together with the scopes for Graph
  //Custom scope for the protected API is as follows:
  //XXX.User.Common (where XXX is our company name)
  public const string Scopes = "User.Read MailboxSettings.Read Calendars.ReadWrite";
  
  try
  {
     var accounts = await PCA.GetAccountsAsync();

     var silentAuthResult = await PCA
                    .AcquireTokenSilent(Scopes.Split(' '), accounts.FirstOrDefault())
                    .ExecuteAsync();

                
   }
   catch (MsalUiRequiredException msalEx)
   {
               
       var windowLocatorService = DependencyService.Get<IParentWindowLocatorService>();

       // Prompt the user to sign-in
       var interactiveRequest = PCA.AcquireTokenInteractive(Scopes);
                

       AuthUIParent = windowLocatorService?.GetCurrentParentWindow();

       if (AuthUIParent != null)
       {
          interactiveRequest = interactiveRequest
                        .WithParentActivityOrWindow(AuthUIParent);
       }

       var interactiveAuthResult = await interactiveRequest.ExecuteAsync();
       var accounts = await PCA.GetAccountsAsync();
       
       //at this point, I have a valid Graph token, but I need to
       //get a valid token for the protected API, 
       //unsure of how to do this last piece 
    }
           

Answer 1

这个答案很大程度上要归功于 Gaurav Mantri，但他太谦虚了，无法接受荣誉，所以他要求我发布答案。

我需要更改的第一件事是身份验证流程。

根据 protected API 对用户进行身份验证，然后获取 Graph token ，因为 Graph 身份验证与 AcquireTokenSilent(IEnumerable<string> scopes, IAccount account) 配合良好。 MSAL 库的方法。我通过对 Graph 进行身份验证然后尝试获取 protected API token 来反向执行此操作。

因此，用于身份验证的代码如下所示:

 public async Task SignIn()
 {
     try
     {
         //check for any accounts which are authenticated
         var accounts = await PCA.GetAccountsAsync();

         //try to Authenticate against the protected API silently     
         var silentAuthResult = await PCA
                    .AcquireTokenSilent(new string[] { "api://{your api client id}/.default" }, accounts.FirstOrDefault())
                    .ExecuteAsync();

                
     }
     catch (MsalUiRequiredException msalEx)
     {
        // This exception is thrown when an interactive sign-in is required.
        var windowLocatorService = DependencyService.Get<IParentWindowLocatorService>();

        // Prompt the user to sign-in
        var interactiveRequest = PCA.AcquireTokenInteractive(new string[] { "api://{your api client id}/.default" });


        AuthUIParent = windowLocatorService?.GetCurrentParentWindow();

        if (AuthUIParent != null)
        {
             interactiveRequest = interactiveRequest
                        .WithParentActivityOrWindow(AuthUIParent);
        }

        var interactiveAuthResult = await interactiveRequest.ExecuteAsync();
        var accounts = await PCA.GetAccountsAsync();
        
        //Now we can get the Graph token silently
        //We now have valid tokens for both Graph and our protected API        
        var graphtokenresult = await PCA.AcquireTokenSilent(Scopes, accounts.First()).ExecuteAsync();
                
      }
      catch (Exception ex)
      {
                
      }               
  }
 

在 Azure 门户中，我需要确保在配置中设置了一些内容。

1. 确保为 protected API 设置一些自定义范围 - quickstart-configure-app-expose-web-apis

2. (MSDN 文档中未记录此内容)

   在同一页面上，您可以添加 protected API 的范围，有一个名为添加客户端应用程序的部分，您可以通过单击“添加”，然后选择要授予权限的应用程序来考虑访问您的 API 就足够了，但事实并非如此。

   

您还需要进入 protected API 的 list 并添加要手动授予访问权限的应用程序的客户端 ID，因为单击添加按钮并选择客户端应用程序不会修改 list 。因此，打开 protected API 的 list 并将客户端应用程序 ID 添加到 list 中标记为 knownClientApplications 的部分:

完成所有这些操作后，您现在可以收到一个访问 token ，该 token 将针对 protected API 进行授权，以及一个用于获取用户信息的图形 token 。我希望这对您有所帮助，并再次感谢 Gaurav Mantri。如果有人对此有更多疑问，请与我联系，我会尽力传授我所学到的知识。