如何使用从 OIDCStrategy 检索到的 accessToken 来遍历 Azure Graph API？

Question

我正在使用 https://github.com/AzureAD/passport-azure-ad 将 nodejs 应用程序与 Azure AD 集成。

我使用 OIDCStrategy 将用户登录到我的 node.js 应用程序。

这是我的代码：

 (passport.use(new OIDCStrategy({
  callbackURL: config.azureadCreds.callbackURL,
  realm: config.azureadCreds.realm,
  clientID: config.azureadCreds.clientID,
  clientSecret: config.azureadCreds.clientSecret,
  scope: "openid offline_access profile Directory.Read UserProfile.Read",
  identityMetadata: config.azureadCreds.identityMetadata,
  skipUserProfile: config.azureadCreds.skipUserProfile,
  responseType: config.azureadCreds.responseType,
  responseMode: config.azureadCreds.responseMode,
  passReqToCallback: true
},
function (iss, sub, profile, claims, accessToken, refreshToken, params, done) {
  request.get("https://graph.windows.net/<my-tenant-id>/me?api-version=1.5", {
    'headers': {
      'Authorization': "Bearer " + params["id_token"],
      'Content-Type': 'application/json'
    }
  }, function(err, res, body){
    if(err){
      console.log("err: " + err);
    }
    else{
      console.log("res: " + res);
    }
    done();
  });
 })));

但是我无法得到任何回应。我尝试了各种配置，但都没有运气。

Answer 1

由于 Passport 是在 Authorization Code Grant Flow 上构建的，并且要通过 Graph API 获取用户配置文件，我们需要在 Service to Service Calls Using Client Credentials 上构建应用程序。

Authorization Code 得到的 access token 不能简单的作为 Graph API 的授权使用。

因此我们需要通过 client_credentials 为访问令牌构建自定义 HTTP 请求，然后利用此令牌遍历 azure Graph API。

构建访问令牌的请求：

使用访问令牌遍历 azure Graph API：