我在 AAD 中注册了我的机密客户和资源客户。 机密客户端具有访问资源客户端的 API 权限。 在我使用我的凭据从机密客户端登录后,如何向资源客户端发出请求?
基于ms docs
例如,如果您的 Web API 的应用程序 ID URI 是 https://contoso.com/api 并且您的范围名称是Employees.Read.All,那么完整的范围是: https://contoso.com/api/Employees.Read.All
这个例子还不足以让我理解访问令牌在哪里?
【问题讨论】:
标签: azure asp.net-web-api azure-active-directory
您可以使用auth code flow 获取访问令牌。
首先,通过浏览器中的网址获取code。这一步需要登录。
https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?
client_id={your-client-id}
&response_type=code
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&response_mode=query
&scope=https://contoso.com/api/Employees.Read.All
&state=12345
然后,用代码获取access_token。
POST https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded
client_id={your-client-id}
&scope=https://contoso.com/api/Employees.Read.All
&code={the code from the previous step}
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&grant_type=authorization_code
&client_secret={your-client-secret}
关于隐式授权流程:
此流程通常用于单页应用程序,隐式授权比其他授权存在更多风险。请检查隐式授权是否适合您的应用程序,请参阅here。如果没有,我仍然建议您使用身份验证代码流。
注意:要让它工作,您需要先在门户的隐式授权部分下选择访问令牌,导航到应用注册 -> 您的应用程序 -> 身份验证。
https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?
client_id={your-client-id}
&response_type=token
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&scope=https://contoso.com/api/Employees.Read.All
&response_mode=fragment
&state=12345
&nonce=678910
&prompt=none
【讨论】: