Microsoft Graph API userInfo 端点 UnknownError：令牌必须包含子声明

Question

我正在尝试使用通过 Open ID Connect 接收到的访问令牌在 https://graph.microsoft.com/oidc/userinfo 处执行 userinfo 端点。

收到的响应是：

400 错误请求

{
    "error": {
        "code": "UnknownError",
        "message": "Token must contain sub claim.",
        "innerError": {
            "date": "2021-02-22T07:14:37",
            "request-id": "650a2928-b0e7-49ae-9e6d-ecb569ee69e6",
            "client-request-id": "650a2928-b0e7-49ae-9e6d-ecb569ee69e6"
        }
    }
}

访问令牌有效并且确实包含子声明。

如果我登录到https://developer.microsoft.com/en-us/graph/graph-explorer，并使用它自动检索的访问令牌，它就可以工作——对于同一个用户。子声明是不同的，但有两个。

似乎来自 OIDC 的令牌没有正确的子声明 - 这怎么可能？

直接从 /authorize 端点 [WORKING] 访问令牌：

来自 OIDC 的访问令牌 [不工作]：

OIDC 配置：

options.Authority = authority;
options.ClientId = Configuration[ConfigKeys.IdentityProvider.ClientID];
options.ClientSecret = Configuration[ConfigKeys.IdentityProvider.ClientSecret];

options.SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
options.CallbackPath = Configuration[ConfigKeys.IdentityProvider.CallbackPath];
options.SignOutScheme = CookieAuthenticationDefaults.AuthenticationScheme;

options.CorrelationCookie.Expiration
    = options.NonceCookie.Expiration
    = options.ProtocolValidator.NonceLifetime
    = options.RemoteAuthenticationTimeout
    = TimeSpan.FromHours(8);

options.Resource = "https://graph.microsoft.com";
options.GetClaimsFromUserInfoEndpoint = false;
options.UseTokenLifetime = true;
options.RequireHttpsMetadata = true;
options.SaveTokens = true;

options.ResponseType = OpenIdConnectResponseType.CodeIdToken;
options.Scope.Add("openid");
options.Scope.Add("profile");
options.Scope.Add("email");
options.Scope.Add("offline_access");
options.Scope.Add("groups");

options.RemoteAuthenticationTimeout = TimeSpan.FromHours(10);
options.TokenValidationParameters = new TokenValidationParameters
{
    ValidateIssuer = true,
    ValidIssuer = authority,
    //NameClaimType = "name"
};

Answer 1

访问令牌有效并且确实包含子声明。

我想你没有正确获取令牌，请按照以下步骤操作。

1.Register an application with Azure AD

2.在AD App的API permissions，在Microsoft Graph中添加如下权限

3.在Authentication中，选择以下选项。

4.在浏览器中点击下面的网址，替换你的<tenant-id>，<client-id>，登录你的用户账户，你会得到一个access_token和一个id_token。

https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize?client_id=<client-id>&response_type=token+id_token&redirect_uri=http://localhost&scope=user.read+openid+profile+email&response_mode=fragment&state=12345&nonce=678910

5.使用access_token调用https://graph.microsoft.com/oidc/userinfo端点，效果很好，在我的示例中sub的值为EY4uO7uc1IG2n8EboEalB4LDxJ1NU8nuc2JXZgkisN4。

6.解码https://jwt.io/中第4步得到的id_token，sub也是EY4uO7uc1IG2n8EboEalB4LDxJ1NU8nuc2JXZgkisN4，也就是说从https://graph.microsoft.com/oidc/userinfo端点得到的sub是正确的。

如果我登录到https://developer.microsoft.com/en-us/graph/graph-explorer，并使用它自动检索的访问令牌，它就可以工作——对于同一个用户。子声明是不同的，但有两个。

您从 Microsoft Graph Explorer 获得的令牌是 access_token，第一个 sub 是 access_token 的值，第二个是您想要的，即 sub 的 id_token。

似乎来自 OIDC 的令牌没有正确的子声明 - 这怎么可能？

没错，正如我上面提到的，你从 OIDC 得到的sub 和从id_token 得到的sub 是一样的。

参考 - https://docs.microsoft.com/en-us/azure/active-directory/develop/userinfo#userinfo-response

这些值与应用在向应用发出的ID token 中看到的值相同。

注意：您可能会发现手动获取的sub 与从MS Graph Explorer 获取的第二个sub 不同，这是因为您的用户帐户登录了两个不同的客户端，一个是Graph Explorer 的客户端，另一个是您的自定义 AD App。

参考 - https://docs.microsoft.com/en-us/azure/active-directory/develop/id-tokens

更新：

OIDC 不使用 v2.0 端点，为了解决这个问题，我们需要配置 OIDC 使其使用 v2.0 端点，只需在配置的authority 中添加v2.0。