OAuth2资源所有者密码通过API授予
我目前正在构建一个需要OAuth2的API,但无法找到一个可以通过RESTful API处理原生移动应用中单点登录的库。 大多数我发现只有一个网络弹出窗口,已被否决该项目。 目前正在运行的B2C无法使用ROPG。 有没有办法使用C#.NET和Azure轻松地设置另一个库?
更新:
尝试使用B2C每个Fei Xue回答下面的问题,我们得到了从Microsoft Graph获取访问令牌的重点。 在POST的主体中,我们做了以下事情:
resource = https%3A%2F%2FGraph.windows.net&client_id = [B2C设置 – 应用程序 – AppId]&grant_type =密码&用户名= rob%40 [租户] .onmicrosoft.com&密码= [密码]&client_secret = [B2C设置 – 应用程序 – 应用程序密钥 – client_secret]
我们对命名空间的错误是由于我们尝试的用户名。 这是一个使用电子邮件作为用户名的B2C租户,这就是命名空间错误的原因。 我们解决该错误的唯一方法是创建一个B2C用户,其电子邮件地址以租户结尾,如下所示:
抢劫@ [租户] .onmicrosoft.com
我们现在正在获取访问令牌,但该令牌不会使用我们的azure app service api app进行身份validation,这是最初的目标。
我们要完成的是发送对B2C登录有效的用户名和密码,并获得对api应用程序有效的IdToken或Access Token。 api应用程序通过AppA身份validation设置连接到B2C,该设置为AAD配置了客户端ID和来自B2C设置应用程序的秘密设置。
更新:
我们在Azure web api中尝试通过graph.windows.net令牌进行身份validation,我们在https://Graph.windows.net允许的令牌受众中添加了我们的App Service – 身份validation – Active Directory身份validation配置。
但是,将Bearer标头中的图形访问令牌传递给API仍然会导致
“此请求已被拒绝授权”。
发现如果我们将Issuer Url留空,如下例所示,它现在接受Graph令牌!
但是,这会在尝试击中时导致问题
HTTPS:// [our_web_app] .azurewebsites.net / .auth /登录/ AAD
它现在转到常见的Microsoft登录。 之前它指示我们的B2C注册政策,因为发行人url设置为:
https://login.microsoftonline.com/[tenantname].onmicrosoft.com/v2.0/.well-known/openid-configuration?p=[B2C_SignUpIn_Policy]
事实上,如果我们从我们的应用程序(在删除Issuer Url之前工作)中将策略提取到登录策略,我们就可以登录,但是返回的Access Token现在总是在Web API中作为Unauthorized返回调用。
发行人url是否应留空?
此外,由于将Issuer Url留空,因此当我们使用Header Authorization Bearer中的Graph访问令牌发送请求时,服务器需要更长的时间来响应API调用。 它花费大约1-2秒(使用从MSAL获得的有效B2C访问令牌或上面的Web登录)大约需要10-15秒来响应它是经过身份validation的请求。 这种速度对我们来说是一个阻碍。 以这种方式validation图形调用通常需要这么长时间吗?
该function现已在预览版中提供,效果非常好:
https://docs.microsoft.com/en-us/azure/active-directory-b2c/configure-ropc
重要说明: 文档中提到的POST URL错误。
https://login.microsoftonline.com/{{Aad_Tenant}}/b2c_1_ropc_auth/oauth2/v2.0/
一定是:
https://login.microsoftonline.com/{{Aad_Tenant}}/oauth2/v2.0/token?p=b2c_1_ropc_auth
调用应用程序必须启用本机客户端,否则您将收到此错误:
AADB2C90224:尚未为应用程序启用资源所有者流。
看看Identityserver 。 我探测可以帮助你。
我和Rob一起工作,我们终于接到了使用https://login.microsoftonline.com/ [tenant_ending_in_onmicrosoft.com] /oauth2/token的电话。
在POST的主体中,我们做了以下事情:
resource = https%3A%2F%2FGraph.windows.net&client_id = [B2C设置 – 应用程序 – AppId]&grant_type =密码&用户名= rob%40 [租户] .onmicrosoft.com&密码= [密码]&client_secret = [B2C设置 – 应用程序 – 应用程序密钥 – client_secret]
我们对命名空间的错误是由于我们尝试的用户名。 这是一个使用电子邮件作为用户名的B2C租户,这就是命名空间错误的原因。 我们解决该错误的唯一方法是创建一个B2C用户,其电子邮件地址以租户结尾,如下所示:
抢劫@ [租户] .onmicrosoft.com。
我们现在正在获取访问令牌,但该令牌不会使用我们的azure app service api app进行身份validation,这是最初的目标。 我们要完成的是发送对B2C登录有效的用户名和密码,并获得对api应用程序有效的IdToken或Access Token。 api应用程序通过AppA身份validation设置连接到B2C,该设置为AAD配置了客户端ID和来自B2C设置应用程序的秘密设置。
更新:如果我向POST添加?p = [B2C SignUpIn Policy],则会出现以下错误:
AADB2C90224:尚未为应用程序启用资源所有者流。
Azure AD B2C已经支持资源所有者密码授予流程,您可以使用以下流程发送如下所示的HTTP请求:
POST: https://login.microsoftonline.com/{tenant}/oauth2/token resource=https%3A%2F%2FGraph.windows.net&client_id={client_id}&grant_type=password&username={userName}&password={password}&client_secret={secret}
注意:此流程仅适用于本地帐户,因为社交身份提供商(Facebook,Google等)不支持此function。
更新
上面的令牌是获取https://graph.windows.net
的令牌。 要通过Azure AD保护的Web API身份validation,我们需要将其指定为允许的令牌听众,如下图所示: