azure - 如何使用 v1 Azure AD 应用程序和客户端凭据访问 Sharepoint Online API-6ren

azure - 如何使用 v1 Azure AD 应用程序和客户端凭据访问 Sharepoint Online API

转载作者：行者123 更新时间：2023-12-05 03:58:22

26

4

我无法使用 Postman 对 Sharepoint Online 进行 API 调用。我已成功对 Graph API 进行 API 调用，因此我熟悉我认为这应该如何工作。

我已按照以下说明进行设置:

用于创建证书并注册 v1 azure 应用程序: https://learn.microsoft.com/en-us/sharepoint/dev/solution-guidance/security-apponly-azuread
用于使用客户端凭据流程:https://learn.microsoft.com/en-us/azure/active-directory/develop/v1-oauth2-client-creds-grant-flow
用于创建客户端断言:https://learn.microsoft.com/en-us/azure/active-directory/develop/active-directory-certificate-credentials

第一篇文章说它不会接受使用客户端 key 生成的访问 token ，但我已经生成了带有 key 和证书的 token ，并且没有发现任何差异。

当调用任何东西时，例如:

https://<tenant>.sharepoint.com/_api/web

我收到错误:

{"error_description":"Exception of type 'Microsoft.IdentityModel.Tokens.AudienceUriValidationFailedException' was thrown."}

这是我使用 v1/token 端点生成的访问 token 的示例:

{
  "aud": "https://microsoft.sharepoint-df.com/",
  "iss": "https://sts.windows.net/462c0b***********c3708/",
  "iat": 1569243291,
  "nbf": 1569243291,
  "exp": 1569247191,
  "aio": "42FgYDiXt***********==",
  "app_displayname": "T***********n",
  "appid": "00c***********2b",
  "appidacr": "2",
  "idp": "https://sts.windows.net/46***********708/",
  "oid": "2f8a5***********684",
  "roles": [
    "User.ReadWrite.All",
    "TermStore.Read.All",
    "Sites.FullControl.All"
  ],
  "sid": "5ab8d57***********0bc",
  "sub": "2f8a5***********684",
  "tid": "462c0***********708",
  "uti": "aHt8d***********9AA",
  "ver": "1.0"
}

最佳答案

该错误消息似乎暗示我在/token 端点调用中的资源参数设置不正确。我相信微软文档中省略了这一点，因为文档是如此划分。 V1 应用程序调用 SharePoint Online 的正确 token 端点调用如下所示:

网络服务

POST https://login.microsoftonline.com/<TARGET-TENANT-ID OR NAME>/oauth2/token

参数

client_id= <Application ID from Azure Portal>
grant_type=client_credentials
resource= https://<TARGET-TENANT-NAME>.sharepoint.com
client_assertion_type= urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_assertion= <See Link Above to create assertion>

上面的链接省略了如何计算证书 JWT 的 x5t 值。您可以使用这个:

echo $(openssl x509 -in certificate.pem -fingerprint -noout) | sed 's/SHA1 Fingerprint=//g' | sed 's/://g' | xxd -r -ps | base64

我从这里得到的:How to obtain value of "x5t" using Certificate credentials for application authentication

如果您尝试使用客户端 key 而不是客户端断言，您将收到一个 token ，但 SharePoint Online REST API 将返回:

Unsupported app only token.

关于azure - 如何使用 v1 Azure AD 应用程序和客户端凭据访问 Sharepoint Online API，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/58063585/

26

4

0

文章推荐： Angular 附加组件而不是使用路由器导出替换整个页面

c# - SVN 凭据
我有一个问题，我不断收到错误没有为“svn.ssl.server”凭据注册的提供者我正在使用在另一台 SVN 服务器上工作的相同代码，但我设置的新服务器似乎无法连接，即使我可以通过 Web 浏览器
hudson svn 凭据
如何通过 shell 在 Hudson 中输入 subversion 凭据？我尝试在 HUDSON_HOME 中生成文件 hudson.scm.SubversionSCM.xml 并重新加载配置，但
powershell - OpenRemoteBaseKey() 凭据
我正在尝试使用 powershell 访问远程注册表，如下所示: $reg = [Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey("LocalMachi
服务器拒绝 powershell 凭据
我需要将凭据存储在 powershell 中以便多次使用。 StackOverflow 上有很多例子，所以我拿了一个 $tmpCred = Get-Credential $tmpCred.Passwo
Java Youtube 凭据？
我遇到了 youtube java 凭据的问题，通常它运行良好并且我能够上传到 youtube，但今天我收到此异常无效的凭据。 YouTubeService service = new YouTube
使用密码文件的 Hadoop 凭据
我正在阅读中提供的 Hadoop 凭证文档 https://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/Crede
MySQL 凭据/主机变量最佳实践
我想知道在为 MySQL 凭据/主机创建变量时最佳做法或建议做什么。 define('HOST', 'localhost'); // etc.. mysql_connect(HO
jenkins - 如何在脚本控制台中列出我的所有 Jenkins 凭据？
我试图让 Jenkins 从 BitBucket 克隆我的 mercurial 项目。它不会，因为它说凭据有问题 - 好吧，bitbucket 拒绝 Jenkins 提供的任何内容。我几乎 100%
git - 有没有办法缓存在机器重启时不会过期的 git 凭据？
这里有一百万篇关于如何使用 git 缓存凭据的帖子。但是，如果机器重新启动，它们似乎都不成立。有没有办法缓存在机器重新启动时持续的凭据？最佳答案是的，在 Debian 和 Ubuntu 上，您可以
IIS 共享配置 gMSA 凭据
我正在尝试在我的环境中为 IIS 节点使用共享配置，我想使用组托管服务帐户凭据来实现这一目标。当我将应用程序池的凭据应用为 MyDomain\GmsaAccount$ 时，它运行良好，但是当我尝试在
security - 安全存储需要用作纯文本的 API 凭据
我创建了一个应用程序，它充当 2 个不同 API(WebEx 和 Exchange Web 服务)和电子邮件之间的桥梁。用户向一个特殊的电子邮件地址发送日历邀请，该应用程序解析 ICS 并创建一个 W
java - 如何在文件夹级别读取 Jenkins 凭据
我正在尝试将凭据从 Jenkins 迁移到另一个凭据存储。我想从 Jenkins 商店读取凭据，并找到了这个脚本 ( https://github.com/tkrzeminski/jenkins-g
jenkins - 通过脚本更新 Jenkins 凭据
我有一个在 Windows 上运行的 Jenkins 服务器。它将用户名:密码存储在凭据插件中。这是一个定期更新密码的服务用户。我正在寻找一种运行脚本的方法，最好是 Powershell，它将更新
jenkins - 使用 jenkins 凭据
我想知道如何创建 Jenkins 和 Jenkins 中运行的作业可以使用的凭据以连接到 3rd 方服务。最佳答案您应该指定您将使用的第 3 方服务。以下是带有的凭据示例bitbucket 我
kerberos - 如何防止浏览器发送 NTLM 凭据？
我正在一个网站上工作，我们希望使用 Spring Security Kerberos 使用 Kerberos 身份验证。所以，我们不支持 NTLM。当用户发出未经身份验证的请求时，服务器将回复带有 h
git - 如何覆盖一个存储库的全局 Git 凭据？
如果我设置 git config --global credential.username my_username 选项，然后使用 --local 选项覆盖一个存储库，这并没有什么区别 - 它在尝试提
elasticsearch - 如何生成 gce 凭据
我正在尝试使用需要 gce_client_id 和 gce_client_secret key 的第 3 方应用程序。为了生成它们，我浏览了凭据图标并尝试创建一个 OAuth 2.0 客户端 ID。但
powershell - 用于构建服务器的 Azure 凭据
我在使用 Azure 时遇到身份验证问题。我有一个运行 powershell 脚本的连续构建服务器，我收到如下消息: Your Azure credentials have not been set
security - 我应该如何存储 docker 凭据？
首先，我想说我在安全和身份验证方面的知识非常有限。我有一个应用程序可以从 docker store 中提取和运行容器。这是一个私有(private)仓库，所以我需要传递用户名和密码，以便用户可以拉取
java - 保存 oAuth 凭据
我使用 Google 文档中的代码(如下所示)来管理 Google 日历。 public class CalendarQuickstart { private static final Str

首页

博学

6Ren·AI

商城

azure - 如何使用 v1 Azure AD 应用程序和客户端凭据访问 Sharepoint Online API