如何使用 id_token 从 Azure Function 应用程序获取 Azure access_token?
Posted
技术标签:
【中文标题】如何使用 id_token 从 Azure Function 应用程序获取 Azure access_token?【英文标题】:How get in Azure access_token from Azure Function app with id_token? 【发布时间】:2020-06-27 20:33:23 【问题描述】:当用户访问匿名函数应用程序时,我正在尝试获取授权和访问和刷新令牌。
我已经按照这个tutorial使用了Function App的B2C租户授权。
我可以在函数应用程序中使用这个获取 id_token。要获取令牌,我将函数应用程序的地址粘贴到浏览器中:
public static async Task<IActionResult> Run([HttpTrigger(AuthorizationLevel.Anonymous, "get", "post", Route = null)] HttpRequest req, ILogger log)
string code = null;
foreach (var h in req.Headers)
if(h.Key.Equals("X-MS-TOKEN-AAD-ID-TOKEN"))
code += (h.Value);//authorisation id_token to get access_token
我已经尝试了几个教程来获取访问/刷新令牌,这个one 我可以遵循/理解:我在 Fiddler 中看到我在https://tenantName.azurewebsites.net/.auth/login/aad/callback 获得了 id_token;但是下一行https://functionAppName.azurewebsites.net/api/functionName GET 请求,响应是 Server Error, 404 - File or directory not found.":
public static async Task<IActionResult> Run([HttpTrigger(AuthorizationLevel.Anonymous, "get", "post", Route = null)] HttpRequest req, ILogger log)
string code = null;
foreach (var h in req.Headers)
if(h.Key.Equals("X-MS-TOKEN-AAD-ID-TOKEN"))
code += (h.Value);
var content = new StringContent(
"grant_type=refresh_token" +
"&client_id=" + B2CApplication-ApiID+
"&redirect_uri="+"https://functionapp.azurewebsites.net/.auth/login/aad/callback"+
"&client_secret="+"XXX"+
"&code" + code +
"&scope=user.read"+
"&resource="+"https://graph.microsoft.com",//also tried https://graph.microsoft.com/.default
Encoding.UTF8,
"application/x-www-form-urlencoded");
BaseURL="https://tenantName.b2clogin.com/tenantName.onmicrosoft.com/oauth2/v2.0/token";
var response = await httpClient.PostAsync(BaseURL, content);
var result = await response.Content.ReadAsStringAsync();
dynamic json = JsonConvert.DeserializeObject(result);
var access_token = json.access_token;
var refresh_token = json.refresh_token;
string token_value = access_token.value;
string refresh_value = refresh_token.value;
return (ActionResult)new OkObjectResult($"Complete " ,token_value);
这是设置:
Azure AD B2C Tenant
Domain Name: tenantName.onmicrosoft.com
Applications: B2CApplication-Api
WebApp/API : Yes
Allow Implicit Flow : Yes
Reply Url : https://functionapp.azurewebsites.net/.auth/login/aad/callback
App ID : https://tenantName.onmicrosoft.com/B2CApplication-Api
Add URI (optional): identityauth
Include Native client: No
Secret key: XXX
Reply URL: https://tenantName.azurewebsites.net/.auth/login/aad/callback
API Access to Microsoft Graph: Read User Profile with granted admin consent
Published Scope read: https://tenantName.onmicrosoft.com/identityauth/read
Published Scope user_impersonation: https://tenantName.onmicrosoft.com/identityauth/user_impersonation
User Flows
SignupSignIn, Password reset, profile editing
Application : B2CApplication-Api
Reply Url : https://tenantName.azurewebsites.net/.auth/login/aad/callback
Azure Function: Anonymous
App Service Authentication : On
Action to take when not authenticated : Login with Azure AD
Authentication provider:Azure AAD
Management Mode : Advanced
client id : B2C-Application-ApplicationID
issuer url : https://tenantName.b2clogin.com/tenantName.onmicrosoft.com/v2.0/.well-known/openid-configuration?p=B2C_1_signinsignoutpolicy
Allowed Token Audiences: B2C-Application-Application_ID
【问题讨论】:
您只显示了上面的 refresh_token 授权调用;当您尝试授权代码授权时会发生什么? 嗨@sellotape 我得到相同的响应服务器错误,404 - 找不到文件或目录。但我知道我有 id_token (authorization_code) 并且我发送的请求是针对 acces_code 和刷新 docs.microsoft.com/en-us/azure/active-directory/azuread-dev/… 比较混乱,access_token是什么?此链接中的图表显示用户获取的第一个代码是授权代码,稍后获取 access_code docs.microsoft.com/en-us/azure/active-directory/azuread-dev/…,但其他文档指向 grant_type=authorization_code 以获取 access_token(第 3 节)docs.microsoft.com/en-us/graph/auth-v2-user ID 令牌一般对授权请求没有任何价值;只有访问令牌可以。您需要获取该 和 刷新令牌(如有必要)以刷新现有访问令牌。你确定你的网址都正确吗?例如将您的实际租户名称/ID 代入其中? 首先,我将消除围绕刷新令牌的混淆,并尝试在此时使用授权码授权获取访问令牌。那么,您的 b2c 租户实际上是否称为“tenantName”,或者您只是将其替换为不显示真实的租户?你可以(最初,无论如何)尝试使用“login.microsoftonline.com”而不是“tenantName.b2clogin.com”(它是valid until Dec 2020),看看这是否能让你走得更远。 【参考方案1】:Azure AD B2C 访问令牌只能用于访问您自己的受保护资源。
我们不能使用 Azure AD B2C 颁发的访问令牌来调用 Microsoft Graph API。您必须让用户调用您的 API,并且您的 API 需要使用 client_credentials 来获取 Graph API 的令牌。
而且,https://graph.microsoft.com
用于资源(v1.0),https://graph.microsoft.com/.default
用于范围(v2.0)。详情可参考this article。
参考:
B2C calling a Web API you own
AAD calling MS Graph API
【讨论】:
以上是关于如何使用 id_token 从 Azure Function 应用程序获取 Azure access_token?的主要内容,如果未能解决你的问题,请参考以下文章
如何强制Azure Active Directory身份验证服务重新发出带有更新声明的id_token?
由于错误的 KID,passport-azure-ad 无法验证“id_token”
在 keycloak id_token 中获取 Azure 组信息