Azure AD B2C授權代碼流-訪問graph.windows.net
[英]Azure AD B2C authorization code flow - accessing graph.windows.net
問題描述
我使用Azure AD B2C 授權代碼流 (下面在URL和表單內容中插入換行符以提高可見性)。
首先,我在瀏覽器中打開以下URL:
https://mycompany.b2clogin.com/mycompany.onmicrosoft.com/oauth2/v2.0/authorize?
client_id=8acddeb9-e950-4d64-802c-dcc9fab4f89b&
response_type=code&
redirect_uri=https%3A%2F%2Fmy-company-site.com%2F&
response_mode=query&
scope=8acddeb9-e950-4d64-802c-dcc9fab4f89b%20offline_access%20openid&
state=arbitrary_data_you_can_receive_in_the_response&
p=B2C_susi_test
輸入憑據后,我將重定向到
https://my-company-site.com/?
state=arbitrary_data_you_can_receive_in_the_response&
code=__authorization_code__
之后,我嘗試請求access_token (這里是https://graph.windows.net/ ):
POST https://mycompany.b2clogin.com/mycompany.onmicrosoft.com/oauth2/v2.0/token?p=B2C_susi_test
User-Agent: Fiddler
Host: mycompany.b2clogin.com
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&
client_id=8acddeb9-e950-4d64-802c-dcc9fab4f89b
scope=openid+offline_access&
code=__authorization_code__&
redirect_uri=https%3A%2F%2Fmy-company-site.com%2F&
client_secret=__client_secret__&
resource=https%3A%2F%2Fgraph.windows.net%2F
結果,我得到以下JSON:
{
"id_token": "__a_token__",
"token_type": "Bearer",
"not_before": 1564662310,
"id_token_expires_in": 3600,
"profile_info": "__some_info__",
"refresh_token": "__refresh_token___",
"refresh_token_expires_in": 1209600
}
首先,這里缺少access_token ,但是有id_token ,它與docs不同。
然后我嘗試使用id_token訪問https://graph.windows.net :
GET https://graph.windows.net/mycompany/users/me?api-version=1.6 HTTP/1.1
User-Agent: Fiddler
Host: graph.windows.net
Authorization: Bearer __a_token__
響應(401):
{
"odata.error": {
"code": "Authentication_ExpiredToken",
"message": {
"lang": "en",
"value": "Your access token has expired. Please renew it before submitting the request."
}
}
}
關於令牌為何是access_token任何想法都丟失了,或者如何使用id_token ?
2 個解決方案
解決方案1
1 2019-08-01 22:35:02
您不能使用AAD B2C應用程序注冊和B2C用戶旅程訪問任何Microsoft第一方服務。
如果您需要訪問Microsoft服務,請使用AAD應用程序注冊和AAD流程。
在B2C場景中,Web服務器需要訪問Graph API,讓Web服務器針對B2C目錄中的AAD應用注冊使用客戶端憑據流。
解決方案2
1 已采納 2019-08-01 22:35:48
您無法使用Azure AD B2C流獲取Azure AD Graph API的訪問令牌-因為此API並非Azure AD B2C注冊的應用程序。
您必須使用Azure AD流獲取它 。
是否可以使用帶有 PKCE 的授權代碼流自動登錄到 Azure AD B2C
[英]Is it possible to automate login to Azure AD B2C using the authorization code flow with PKCE
Azure AD B2C - 基於客戶端類型的身份驗證代碼流與隱式授權流
[英]Azure AD B2C - Auth code flow vs implicit grant flow based on client types
為什么 Azure B2C 在將授權代碼流與 PKCE 一起使用時需要 client_secret
[英]Why does Azure B2C require client_secret when using authorization code flow with PKCE
Azure AD B2C 是否支持 OAuth 2.0 SAML 不記名聲明流?
[英]Is OAuth 2.0 SAML bearer assertion flow supported on Azure AD B2C?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Azure AD B2C授權代碼流
是否可以使用帶有 PKCE 的授權代碼流自動登錄到 Azure AD B2C
Azure AD B2C - 基於客戶端類型的身份驗證代碼流與隱式授權流
為什么 Azure B2C 在將授權代碼流與 PKCE 一起使用時需要 client_secret
使用Graph API更改Azure AD B2C用戶密碼
Azure AD B2C Graph API 401 未經授權
Azure AD B2C 是否支持 OAuth 2.0 SAML 不記名聲明流?
使用Azure AD B2C進行身份驗證
Azure AD B2C中的吊銷終結點
使用OAuth 2.0從Azure B2C AD訪問用戶數據
相關標簽