如何在没有企业应用程序客户端密钥的情况下刷新 Microsoft Graph API 的令牌?
[英]How to refresh the token of Microsoft Graph API without Client Secret for an Enterprise App?
问题描述
有一个选项可以通过添加offline_access scope 来获取access_token和refresh_token 。我们也可以发送请求以获取 always 语法
https://login.microsoftonline.com/common/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&
refresh_token=[REFRESH TOKEN]&
client_id=[APPLICATION ID]&
client_secret=[PASSWORD]&
scope=[SCOPE]&
redirect_uri=[REDIRECT URI]
但企业应用程序不允许创建客户端密码。 有或没有 PowerShell,还有其他方法可以使我的访问令牌保持活动状态吗?
我正在努力保持联系,但无法做到。
1 个解决方案
解决方案1
0 2023-01-23 13:06:34
如果不包含客户端密码,您将无法刷新访问令牌
我试图在我的环境中重现相同的结果并得到以下结果:
我通过在 scope 中提供offline_access获得了刷新令牌,如下所示:
POST https://login.microsoftonline.com/common/oauth2/v2.0/token
client_id:appID
client_secret:secret
grant_type:authorization_code
scope:offline_access user.read
code:code
redirect_uri:https://jwt.ms
当我尝试在不提供客户端机密的情况下使用上述刷新令牌获取access token时,出现如下错误:
POST https://login.microsoftonline.com/common/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded
redirect_uri: https://jwt.ms
client_id:appID
grant_type:refresh_token
refresh_token: <refresh token>
scope: https://graph.microsoft.com/.default
回复:
要使用刷新令牌获取访问令牌,您必须像下面这样包含client_secret :
POST https://login.microsoftonline.com/common/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded
redirect_uri:https://jwt.ms
client_id:appID
client_secret: secret
grant_type:refresh_token
refresh_token: <refresh token>
scope: https://graph.microsoft.com/.default
或者,您可以使用以下PowerShell 脚本来创建令牌生命周期策略,该策略可以使访问令牌保持24 小时有效。
$policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"23:59:59"}}') -DisplayName "WebPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
$sp = Get-AzureADServicePrincipal -Filter "DisplayName eq '<service principal display name>'"
Add-AzureADServicePrincipalPolicy -Id $sp.ObjectId -RefObjectId $policy.Id
回复:
当我再次生成访问令牌时,令牌寿命增加如下:
POST https://login.microsoftonline.com/common/oauth2/v2.0/token
client_id:appID
client_secret:secret
grant_type:authorization_code
scope:offline_access user.read
code:code
redirect_uri:https://jwt.ms
回复:
C# - 获取图形访问令牌 - 使用客户端 ID、客户端密码、Scope 和客户端委派权限
[英]C# - Get Graph access token - using Client ID, Client Secret, Scope with Client Delegated Permissions
如何从应用程序客户端在 azure JS SDK 中生成 SAS 令牌,而不使用帐户密钥
[英]How to generate SAS token in azure JS SDK, from app client, without using account key
无法使用 Microsoft graph API 和 Java Spring 获取带有授权码的令牌
[英]Failed to acquire token with authorization code using Microsoft graph API with Java Spring
Microsoft Graph:我是否可以(重新)使用 AAD 转发的用户 Bearer Token 以便对 Graph API 进行“委托”调用?
[英]Microsoft Graph: Can I (re)use the user's Bearer Token forwarded by AAD in order to make "delegated" calls to the Graph API?
您如何使用 Microsoft Identity 和 Azure AD 处理身份验证和令牌刷新
[英]How do you handle authentication and token refresh with Microsoft Identity and Azure AD
将令牌从经过身份验证的应用程序传递到另一个 API 以使用 OBO 流到图形 API
[英]Passing a token from an authenticated app to another API to use OBO flow to Graph API
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何刷新 Microsoft Graph 访问令牌
C# - 获取图形访问令牌 - 使用客户端 ID、客户端密码、Scope 和客户端委派权限
如何使用 Microsoft Graph 为 Java 缓存令牌
如何获取委托权限的令牌(Microsoft Graph)
如何从应用程序客户端在 azure JS SDK 中生成 SAS 令牌,而不使用帐户密钥
无法使用 Microsoft graph API 和 Java Spring 获取带有授权码的令牌
Microsoft Graph:我是否可以(重新)使用 AAD 转发的用户 Bearer Token 以便对 Graph API 进行“委托”调用?
如何从客户端强制刷新 cognito 令牌
您如何使用 Microsoft Identity 和 Azure AD 处理身份验证和令牌刷新
将令牌从经过身份验证的应用程序传递到另一个 API 以使用 OBO 流到图形 API
相关标签