如何在沒有企業應用程序客戶端密鑰的情況下刷新 Microsoft Graph API 的令牌?
[英]How to refresh the token of Microsoft Graph API without Client Secret for an Enterprise App?
問題描述
有一個選項可以通過添加offline_access scope 來獲取access_token和refresh_token 。我們也可以發送請求以獲取 always 語法
https://login.microsoftonline.com/common/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&
refresh_token=[REFRESH TOKEN]&
client_id=[APPLICATION ID]&
client_secret=[PASSWORD]&
scope=[SCOPE]&
redirect_uri=[REDIRECT URI]
但企業應用程序不允許創建客戶端密碼。 有或沒有 PowerShell,還有其他方法可以使我的訪問令牌保持活動狀態嗎?
我正在努力保持聯系,但無法做到。
1 個解決方案
解決方案1
0 2023-01-23 13:06:34
如果不包含客戶端密碼,您將無法刷新訪問令牌
我試圖在我的環境中重現相同的結果並得到以下結果:
我通過在 scope 中提供offline_access獲得了刷新令牌,如下所示:
POST https://login.microsoftonline.com/common/oauth2/v2.0/token
client_id:appID
client_secret:secret
grant_type:authorization_code
scope:offline_access user.read
code:code
redirect_uri:https://jwt.ms
當我嘗試在不提供客戶端機密的情況下使用上述刷新令牌獲取access token時,出現如下錯誤:
POST https://login.microsoftonline.com/common/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded
redirect_uri: https://jwt.ms
client_id:appID
grant_type:refresh_token
refresh_token: <refresh token>
scope: https://graph.microsoft.com/.default
回復:
要使用刷新令牌獲取訪問令牌,您必須像下面這樣包含client_secret :
POST https://login.microsoftonline.com/common/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded
redirect_uri:https://jwt.ms
client_id:appID
client_secret: secret
grant_type:refresh_token
refresh_token: <refresh token>
scope: https://graph.microsoft.com/.default
或者,您可以使用以下PowerShell 腳本來創建令牌生命周期策略,該策略可以使訪問令牌保持24 小時有效。
$policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"23:59:59"}}') -DisplayName "WebPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
$sp = Get-AzureADServicePrincipal -Filter "DisplayName eq '<service principal display name>'"
Add-AzureADServicePrincipalPolicy -Id $sp.ObjectId -RefObjectId $policy.Id
回復:
當我再次生成訪問令牌時,令牌壽命增加如下:
POST https://login.microsoftonline.com/common/oauth2/v2.0/token
client_id:appID
client_secret:secret
grant_type:authorization_code
scope:offline_access user.read
code:code
redirect_uri:https://jwt.ms
回復:
C# - 獲取圖形訪問令牌 - 使用客戶端 ID、客戶端密碼、Scope 和客戶端委派權限
[英]C# - Get Graph access token - using Client ID, Client Secret, Scope with Client Delegated Permissions
如何從應用程序客戶端在 azure JS SDK 中生成 SAS 令牌,而不使用帳戶密鑰
[英]How to generate SAS token in azure JS SDK, from app client, without using account key
無法使用 Microsoft graph API 和 Java Spring 獲取帶有授權碼的令牌
[英]Failed to acquire token with authorization code using Microsoft graph API with Java Spring
Microsoft Graph:我是否可以(重新)使用 AAD 轉發的用戶 Bearer Token 以便對 Graph API 進行“委托”調用?
[英]Microsoft Graph: Can I (re)use the user's Bearer Token forwarded by AAD in order to make "delegated" calls to the Graph API?
您如何使用 Microsoft Identity 和 Azure AD 處理身份驗證和令牌刷新
[英]How do you handle authentication and token refresh with Microsoft Identity and Azure AD
將令牌從經過身份驗證的應用程序傳遞到另一個 API 以使用 OBO 流到圖形 API
[英]Passing a token from an authenticated app to another API to use OBO flow to Graph API
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何刷新 Microsoft Graph 訪問令牌
C# - 獲取圖形訪問令牌 - 使用客戶端 ID、客戶端密碼、Scope 和客戶端委派權限
如何使用 Microsoft Graph 為 Java 緩存令牌
如何獲取委托權限的令牌(Microsoft Graph)
如何從應用程序客戶端在 azure JS SDK 中生成 SAS 令牌,而不使用帳戶密鑰
無法使用 Microsoft graph API 和 Java Spring 獲取帶有授權碼的令牌
Microsoft Graph:我是否可以(重新)使用 AAD 轉發的用戶 Bearer Token 以便對 Graph API 進行“委托”調用?
如何從客戶端強制刷新 cognito 令牌
您如何使用 Microsoft Identity 和 Azure AD 處理身份驗證和令牌刷新
將令牌從經過身份驗證的應用程序傳遞到另一個 API 以使用 OBO 流到圖形 API
相關標簽