Microsoft Graph 和自定义 API 的访问令牌

Question

我有一个 ReactJs 前端向 API 发出请求。两者都托管在 Azure 中，并在 AAD 中注册应用程序。

我曾经能够使用 v1.0 身份验证端点，并为 API 创建一个有效的令牌：

https://login.microsoftonline.com/common/oauth2/authorize?client_id=<AAD_WEB_APP_ID>&resource=<AAD_API_ID>&response_type=token ...

如果我对 the documentation 的理解正确，则在 v2.0 中不允许/不可能使用这种类型的身份验证流程：

但是，该 Web API 只能从具有相同应用程序 ID 的应用程序接收令牌。您不能从具有不同应用程序 ID 的客户端访问 Web API。客户端将无法请求或获取对您的 Web API 的权限。

从 v1.0 更改为 v2.0 的原因是我需要访问 Microsoft Graph（特别是Groups）。

我的问题是：如何创建适用于 Microsoft Graph 和我的 API 的 access_token？如果这不可能，那么正确的身份验证流程是什么？

Answer 1

您不需要为此切换到 v2 端点，Microsoft Graph 支持 v1 和 v2 令牌（实际上，我能想到的每个支持 v2 也的 API 都支持 v1 但可能是我忘记的例外）。

步骤非常简单：

1. 在 Azure 门户中更新您的 AAD 注册并添加您将要使用的 Microsoft Graph 的权限。

2. 不要在 URI 中传递 resource=<AAD_API_ID>，而是使用 resource=graph.microsoft.com。这将返回一个可用于 Microsoft Graph 的令牌。

重要提示：您必须请求离线访问范围 (offline_access) 才能使其正常工作。

令人困惑的地方在于，技术上您不能使用相同的访问令牌来访问您的 API 和 Microsoft Graph。 支持的是在刷新令牌时切换Resource。因此，是的，虽然您正在使用两个不同的令牌，但您正在重用相同的凭据/授权代码。

这是一个示例流程：

1. 用户使用您的 API 作为资源 (resource=<AAD_API_ID>) 进行身份验证。这会将授权代码返回给您的应用程序。

2. 应用程序将授权代码发布到 /token 端点（也使用您的 API 作为资源）。这会将access_token 和refresh_token 返回给应用程序。

3. 使用此 access_token 调用您的 API。

4. 应用程序使用graph.microsoft.com 作为资源将refresh_token 发布到/token 端点。这将返回一个新的 access_token 和 refresh_token 键控到 Microsoft Graph。

5. 使用这个新的access_token 调用 Microsoft Graph。

6. 应用程序再次将 refresh_token 发布到 /token 端点，但这次再次使用您的 API 作为资源。这将返回一个新的access_token 和refresh_token 键入您的API。

7. 调用您的 API

您可以根据需要重复此循环。根据您需要切换的频率，您还可以将 API 和 Graph 的访问令牌保留在内存中，并重复使用它们直到它们过期。请确保并始终存储您收到的最后一个刷新令牌，以便您可以根据需要获取任一资源的刷新令牌。