c# - Azure KeyVault 范围有助于解决访问被拒绝错误

Question

我正在尝试使用下面的代码片段访问 Azure KeyVault。我已检查 Web 应用程序是否具有所需的所有权限，例如在 key 保管库的访问策略下专门添加 Web 应用程序的所有加密权限。

该应用程序是在 Docker 中本地运行的 .Net 6 Web API，因此教程中的大多数安全选项都不可用。

我已经使用硬编码访问 token 让它工作，所以我确信我的 key 名称、 key 版本和 uri 等信息都是正确的。

当切换到使用客户端 ID 和 key 时，我反而收到访问被拒绝错误。

我不太确定的是范围。我尝试过在网上找到的选项，例如 key 保管库 uri，尝试了 key 保管库属性页上的值和一般 key 保管库范围，但到目前为止尚未取得任何成功。

我应该在这里请求什么范围，是否有一个很好的文档页面可以帮助解决这个问题？到目前为止我尝试过的方法并没有多大帮助。

var app = ConfidentialClientApplicationBuilder.Create(_clientId)
    .WithClientSecret(_clientSecret)
    .WithAuthority(authority)
    .Build();

var authResult = app.AcquireTokenForClient(new[] { $"{kvUri}/.default" }).ExecuteAsync().GetAwaiter().GetResult();
var accessToken = authResult.AccessToken;
_keyVaultClient = new KeyVaultClient(
            async (string a, string r, string s) => accessToken);

var refreshTokenResult = await _keyVaultClient.DecryptAsync(kvUri, "mykeyname", keyVersion, "RSA-OAEP", settings.RefreshTokenBinary);

Answer 1

来自@juunas评论:

范围应为https://vault.azure.net/.default

这解决了问题。