堆栈内存溢出
  繁体   English   中英

无法从 Azure 应用的授权代码中检索访问令牌

[英]Unable to retrieve access token from authorisation code for Azure app

 原文  2020-02-28 13:29:23       node.js/ access-token/ adal/ passport-azure-ad

问题描述

我正在使用passport-azure-ad 库为我的Azure 应用程序对Azure AD 进行SSO。 以下是选项对象:

const options = {
    identityMetadata: process.env.AZUREAD_IDENTITY_METADATA,
    clientID: process.env.AZUREAD_AUTH_CLIENT_ID,
    responseType: 'code id_token',
    responseMode: 'form_post',
    redirectUrl: process.env.AZUREAD_REDIRECT_URL,
    allowHttpForRedirectUrl: true,
    clientSecret: process.env.AZUREAD_AUTH_CLIENT_SECRET,
    validateIssuer: false,
    issuer: null,
    passReqToCallback: true,
    useCookieInsteadOfSession: true,
    cookieEncryptionKeys: [
        { key: '********************************', iv: '************' },
        { key: '********************************', iv: '************' },
    ],
    scope: ['profile', 'offline_access', 'https://graph.microsoft.com/mail.read'],
    loggingLevel: 'info',
    nonceLifetime: null,
    nonceMaxAmount: 5,
    clockSkew: null,
};

从 AD 回调获取授权代码 (req.body.code) 后,我使用它来检索使用 adal-node 库的应用程序的访问令牌。 相关代码片段 -

const authenticationContext = new AuthenticationContext(
            `https://login.microsoftonline.com/<tenant>.onmicrosoft.com`,
        );
        authenticationContext.acquireTokenWithAuthorizationCode(
            req.body.code,
            process.env.AZUREAD_REDIRECT_URL,
            process.env.AZUREAD_AUTH_CLIENT_ID,
            process.env.AZUREAD_AUTH_CLIENT_ID,
            process.env.AZUREAD_AUTH_CLIENT_SECRET,
            function(err, response) {
                let message = '';
                if (err) {
                    message = 'error: ' + err.message + '\n';
                }
                message += 'response: ' + JSON.stringify(response);

                if (err) {
                    console.log(message);
                    return;
                }
...

但是这种方法导致以下错误:

"error": "invalid_grant",
    "error_description": "AADSTS54005: OAuth2 Authorization code was already redeemed, please retry with a new valid code or use an existing refresh token.\r\nTrace ID: 539cdaf3-460d-43fa-b4bb-6f23a8058800\r\nCorrelation ID: 507aafd9-5a4a-4417-b1f8-9fe4a5bc4cd3\r\nTimestamp: 2020-02-28 13:10:27Z",
    "error_codes": [
        54005
    ],

还尝试根据文档检索访问令牌( https://docs.microsoft.com/en-us/azure/active-directory/azuread-dev/v1-protocols-oauth-code#use-the-authorization-code-to -request-an-access-token ) 使用 Postman,但这也会导致相同的错误。

请帮我找出这里的错误。

1 个解决方案

解决方案1
 -1  2020-03-02 01:14:44

Azure AD 将不再接受授权代码来颁发已使用的令牌。

您每次都需要获得一个新的授权码。 此外,您可以更改代码以请求刷新令牌,该令牌将被传递给 /use 其他资源,因为刷新令牌仍可重复使用。

参考:

https://social.msdn.microsoft.com/Forums/en-US/4192e141-309a-4dd6-a5c9-f1a8ce32f4ca/aadsts54005-oauth2-authorization-code-was-already-redeemed

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何从 Azure Active Directory (AAD) Web API 检索 access_token 使用Azure隐式流检索OAuth访问令牌 从Azure获取令牌以访问Microsoft Graph后无法调用函数 从 Microsoft Graph for Azure 获取访问令牌 无法从Nest Server获取访问令牌 Azure Sql 连接使用来自 Azure 的访问令牌与 nodejs 的身份 Azure访问令牌不起作用 无法为node.js中的访问令牌交换代码。 Mailchimp API 从AWS Cognito检索访问令牌,秘密访问密钥和会话令牌 无法使用Sequelize从PG DB(在Azure中)检索数据
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM