Невозможно вызвать graphAPI с использованием потока от имени Asp.Net Web API

Я пытаюсь реализовать от имени пользователя в Asp.net Web API (.net 5). Я получаю access_token из мобильного приложения и отправляю его в свой веб-API. Веб-API использует этот токен для вызова GRAPH API для получения сведений о профиле пользователя. Ниже мой код Startup.cs файл

 services.AddAuthentication("JwtBearer")
                        .AddJwtBearer("JwtBearer", options =>
                        {
                            options.MetadataAddress = $"https://login.microsoftonline.com/{Configuration["b2bAzureAppIdentity:TenantId"]}/v2.0/.well-known/openid-configuration";
                            options.TokenValidationParameters = new TokenValidationParameters()
                            {
                                ValidIssuer = $"https://sts.windows.net/{Configuration["b2bAzureAppIdentity:TenantId"]}/",

                                // as audience, both the client id and the identifierUri are allowed (sematically equivalent)
                                ValidAudiences = new[] { Configuration["b2bAzureAppIdentity:AppIdUri"], Configuration["b2bAzureAppIdentity:ClientId"] }
                            };
                        }).AddMicrosoftIdentityWebApi(Configuration, "b2bAzureAppIdentity")
                        .EnableTokenAcquisitionToCallDownstreamApi()
                        .AddMicrosoftGraph(Configuration.GetSection("DownstreamApi"))
                        .AddInMemoryTokenCaches();

controller.cs

 [HttpGet("GetMyDetails")]
    [AuthorizeForScopes(Scopes = new string[] { "user.read" })]
    public async Task<IActionResult> GetMyDetails()
    {
        var user = await _graphServiceClient.Me.Request().GetAsync();
        return new OkObjectResult(user.Photo);
    }

Настройки приложения представлены в следующем формате

 "b2bAzureAppIdentity": {
"Instance": "https://login.microsoftonline.com/",
"Domain": "",
"TenantId": "",
"ClientId": "",
"ClientSecret": "",
"AppIdUri": ""},
 "DownstreamApi": {
"BaseUrl": "https://graph.microsoft.com/v1.0",
"Scopes": "user.read"},

В Azure разрешения и область действия API заданы правильно, это очевидно, потому что, когда я звоню от почтальона, я могу получить accesstoken для on_behalf_of и использовать его для получения данных профиля пользователя, вызвав https://graph.microsoft.com/v1.0/me

В контроллере на этой строчке

var user = await _graphServiceClient.Me.Request().GetAsync();

Я получаю сообщение об ошибке: на вызов AcquireTokenSilent не было передано никакой учетной записи или подсказки для входа.

Я искал эту ошибку в Google, и в решении говорится, что пользователь должен дать согласие на область, однако это уже было согласовано администратором на портале Azure. Кроме того, тот факт, что это работает в Postman, заставляет полагать, что конфигурации для приложения и API верны. введите описание изображения здесь

Кто-нибудь сталкивался с подобной проблемой?


c# msal microsoft-graph-api asp.net5
person Trupti    schedule 27.05.2021    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Это происходит потому, что полученный access_token не отправляется вместе с запросом на получение сведений о пользователе. Вот пример того, как реализовать от имени провайдер:

// Create a client application.
IConfidentialClientApplication confidentialClientApplication = ConfidentialClientApplicationBuilder
                .Create(clientId)
                .WithTenantId(tenantID)
                // The Authority is a required parameter when your application is configured 
                // to accept authentications only from the tenant where it is registered.
                .WithAuthority(authority)
                .WithClientSecret(clientSecret)
                .Build();
                
// Use the API reference to determine which scopes are appropriate for your API request.
// e.g. - https://docs.microsoft.com/en-us/graph/api/user-get?view=graph-rest-1.0&tabs=http
var scopes = new string[] { "User.Read" };
// Create an authentication provider.
ClientCredentialProvider authenticationProvider = new OnBehalfOfProvider(confidentialClientApplication, scopes);

var jsonWebToken = actionContext.Request.Headers.Authorization.Parameter;
var userAssertion = new UserAssertion(jsonWebToken);
// Configure GraphServiceClient with provider.
GraphServiceClient graphServiceClient = new GraphServiceClient(authenticationProvider);
// Make a request
var me = await graphServiceClient.Me.Request().WithUserAssertion(userAssertion).GetAsync();

В этом случае токен добавляется к запросу при вызове WithUserAssertion.

Пожалуйста, дайте мне знать, поможет ли это и если у вас возникнут дополнительные вопросы.

person Diana    schedule 02.06.2021
comment
Это сработало для меня, большое спасибо :) - person Trupti; 15.06.2021