是否可以接收 MS Teams 机器人（消息扩展）为tenantId 指定的访问令牌？

Question

在我的情况下，我需要在我的 MS Teams 机器人（消息扩展）中接收并保存为tenantId 指定的访问令牌，以便进一步访问 Graph API。有很多关于将代表用户身份验证流程添加到机器人 (https://docs.microsoft.com/en-us/microsoftteams/platform/bots/how-to/authentication/add-authentication?tabs=dotnet%2Cdotnet-sample) 的信息。在这种情况下，我们需要在 Azure 门户上注册附加应用程序（身份提供程序）并将其连接到机器人（OAuth 连接设置）... 但是，就我而言，我需要实现客户端凭据身份验证流程，并使用在 Azure 门户上注册的机器人应用程序的凭据（AppId 和机密）接收访问令牌。为了实现这个目标，我可以使用 msal4j 库，例如：

public static String getAppAccessToken(String[] scopes) {
        ConfidentialClientApplication cca;
        try {
            cca = ConfidentialClientApplication.builder(applicationId, ClientCredentialFactory.createFromSecret(applicationSecret))
                    .authority("https://login.microsoftonline.com/<<tenantId>>/")
                    .build();
        } catch (MalformedURLException e) {
            return null;
        }

        Set<String> scopeSet = Set.of(scopes);

        ClientCredentialParameters clientCredentialParam = ClientCredentialParameters.builder(
                scopeSet)
                .build();

        CompletableFuture<IAuthenticationResult> future = cca.acquireToken(clientCredentialParam);
        return future.join().accessToken();
    }

使用这种方法，我收到了一段时间后过期的令牌。 问题：

1. 是否可以使用 MS Teams Bot 中的客户端凭据身份验证流程接收尚未过期的访问令牌（针对特定的tenantId）？
2. 我应该使用 Bot Framework SDK 或 msal4j 库来实现客户端凭据身份验证流程吗？
3. 客户端凭据身份验证流程需要 Azure 门户上的其他身份提供程序应用程序（Bot 应用程序除外）吗？

Answer 1

Q1：是否可以使用 MS Teams Bot 中的客户端凭据身份验证流程接收尚未过期的访问令牌（针对特定的tenantId）？

=>由于安全机制，访问令牌很容易在一段时间后过期，因为 OAuth 2.0 客户端凭据授予流程提供访问令牌而不是模拟用户，出于安全原因，这是必须具备的。要生成新的访问令牌，您需要刷新令牌，该令牌在您使用客户端凭据流时不可用，但在使用 auth code grant 时可用。

Q2：我应该使用 Bot Framework SDK 还是 msal4j 库来实现客户端凭据身份验证流程？

=>应该没有问题，如果向机器人应用程序授予所需的权限，您可以使用机器人身份验证生成令牌。

Q3：客户端凭据身份验证流程需要 Azure 门户上的其他身份提供程序应用程序（Bot 应用程序除外）吗？

=>如果您有一个与 bot 关联的现有应用程序 ID，则无需创建一个。我看到文档没有提到这一点，但您不需要在门户中创建新应用程序。您可以在 Azure Active Directory 中使用您的应用程序（机器人），并提供所需的权限 => 生成令牌 => 将令牌发送到图形 API 并获取结果。