Я пытаюсь реализовать от имени пользователя в Asp.net Web API (.net 5). Я получаю access_token из мобильного приложения и отправляю его в свой веб-API. Веб-API использует этот токен для вызова GRAPH API для получения сведений о профиле пользователя. Ниже мой код Startup.cs файл
services.AddAuthentication("JwtBearer")
.AddJwtBearer("JwtBearer", options =>
{
options.MetadataAddress = $"https://login.microsoftonline.com/{Configuration["b2bAzureAppIdentity:TenantId"]}/v2.0/.well-known/openid-configuration";
options.TokenValidationParameters = new TokenValidationParameters()
{
ValidIssuer = $"https://sts.windows.net/{Configuration["b2bAzureAppIdentity:TenantId"]}/",
// as audience, both the client id and the identifierUri are allowed (sematically equivalent)
ValidAudiences = new[] { Configuration["b2bAzureAppIdentity:AppIdUri"], Configuration["b2bAzureAppIdentity:ClientId"] }
};
}).AddMicrosoftIdentityWebApi(Configuration, "b2bAzureAppIdentity")
.EnableTokenAcquisitionToCallDownstreamApi()
.AddMicrosoftGraph(Configuration.GetSection("DownstreamApi"))
.AddInMemoryTokenCaches();
controller.cs
[HttpGet("GetMyDetails")]
[AuthorizeForScopes(Scopes = new string[] { "user.read" })]
public async Task<IActionResult> GetMyDetails()
{
var user = await _graphServiceClient.Me.Request().GetAsync();
return new OkObjectResult(user.Photo);
}
Настройки приложения представлены в следующем формате
"b2bAzureAppIdentity": {
"Instance": "https://login.microsoftonline.com/",
"Domain": "",
"TenantId": "",
"ClientId": "",
"ClientSecret": "",
"AppIdUri": ""},
"DownstreamApi": {
"BaseUrl": "https://graph.microsoft.com/v1.0",
"Scopes": "user.read"},
В Azure разрешения и область действия API заданы правильно, это очевидно, потому что, когда я звоню от почтальона, я могу получить accesstoken для on_behalf_of и использовать его для получения данных профиля пользователя, вызвав https://graph.microsoft.com/v1.0/me
В контроллере на этой строчке
var user = await _graphServiceClient.Me.Request().GetAsync();
Я получаю сообщение об ошибке: на вызов AcquireTokenSilent не было передано никакой учетной записи или подсказки для входа.
Я искал эту ошибку в Google, и в решении говорится, что пользователь должен дать согласие на область, однако это уже было согласовано администратором на портале Azure. Кроме того, тот факт, что это работает в Postman, заставляет полагать, что конфигурации для приложения и API верны.
Кто-нибудь сталкивался с подобной проблемой?