问题描述
我已经尝试了所有方法,但不知何故无法生成令牌或生成的令牌不起作用。请帮助我做错了什么。我想要令牌来创建在线会议。 在下面分享我尝试过的请求
-
使用客户端凭据授予类型生成令牌 请求:
POST 'https://login.microsoftonline.com/CXXXXXXX/oauth2/token'
--header '内容类型:应用程序/x-www-form-urlencoded'
--data-urlencode '密码=CXXXXXXX'
--data-urlencode 'grant_type=client_credentials'
--data-urlencode 'scope=OnlineMeetings.ReadWrite'
--data-urlencode 'client_id=CXXXXXXXCXXXXXXX-464c-965a-CXXXXXXXCXXXXXXX'
--data-urlencode 'username=CXXXXXXX@gmail.com'
--data-urlencode 'client_secret=CXXXXXXX6ryCXXXXXXXuV.zu8SmW~D_'
保存生成的令牌 - 在 https://graph.microsoft.com/v1.0/me/onlineMeetings 中使用它会出错 - 访问令牌验证失败。无效的受众群体
-
使用这个令牌作为断言如下
POST 'https://login.microsoftonline.com/learn123456789.onmicrosoft.com/oauth2/token' --header '内容类型:应用程序/x-www-form-urlencoded' --data-urlencode 'grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer' --data-urlencode 'scope=OnlineMeetings.ReadWrite'
--data-urlencode 'client_id=CXXXXXXXCXXXXXXX-464c-965a-CXXXXXXXCXXXXXXX'
--data-urlencode 'client_secret=CXXXXXXX6ryCXXXXXXXuV.zu8SmW~D_'
--data-urlencode 'resource=https://graph.microsoft.com/'
--data-urlencode 'requested_token_use=on_behalf_of'
--data-urlencode 'assertion=tokenFromFirstAPI' -
也试过这个api
错误是 断言受众与呈现断言的客户端应用程序不匹配。断言中的受众是“00000002-0000-0000-c000-000000000000”,预期受众是“clientID”或具有 App ID XXX 的此应用程序的应用程序 Uris 之一。下游客户端必须为预期受众(发出 OBO 请求的应用程序)请求令牌,并且该应用程序应使用该令牌作为断言。
没有令牌在此有效 - https://graph.microsoft.com/v1.0/me/onlineMeetings
获取 - “访问令牌验证失败。无效的受众。”,
请帮忙,我做错了什么?
解决方法
正如您的错误消息所说,您的令牌受众无效,因为您在请求令牌时设置了错误的 scope。您应该将范围设置为https://graph.microsoft.com/.default 或https://graph.microsoft.com/OnlineMeetings.ReadWrite,此外,api 调用仅支持delegated permissions,因此您无法使用客户端凭据流获取令牌。对于 /me 端点,用户需要登录,因此需要使用 auth code flow 获取访问令牌。
或者,还有更简单的方法,可以使用Graph Explorer进行测试,只需要登录用户并添加权限即可。
更新:
我注意到您使用了 3 种方法来获取令牌。
首先,对于第一种方法,您使用的是 v1.0 端点并使用客户端凭据流来获取令牌。需要注意的是,使用v1.0认证时,不能使用scope,而应该使用resource。另外,使用客户端凭证流时,不能使用v1.0版本,需要使用beta版,而且由于客户端凭证流是没有用户登录的流,所以不能调用/me端点,您应该调用 /users 端点。 (注意:当您使用测试版并使用客户端凭据流时,根据 documentation:管理员必须创建一个 application access policy 并将其授予用户,授权策略中配置的应用代表该用户(请求路径中指定的用户 ID)创建在线会议。)
完整的请求是:
POST https://login.microsoftonline.com/{tenant}/oauth2/token
Content-Type: application/x-www-form-urlencoded
client_id=535fb089-9ff3-47b6-9bfb-xxxxxxxxxx
&resource=https://graph.microsoft.com/
&client_secret=qWgdYAmab0YSkuLxxxxxxx
&grant_type=client_credentials
api 调用:
https://graph.microsoft.com/beta/users/{userId}/onlineMeetings
对于第二种方法,我注意到你用的是OBO flow,然后你传入了第一种方法获取的错误的访问令牌作为断言,所以你使用这个流程获得的访问令牌肯定不是正确的。 .另外,如果您没有后端API,请不要使用此流程。这个流程需要你有一个中间层的API,使用起来比较麻烦。
你的第三种方法也错了,你的资源应该是:https://graph.microsoft.com
总结:如果你想在没有用户登录的情况下使用客户端凭证流,请参考我的更新。如果您没有后端 api,请不要使用 OBO 流。
,谢谢卡尔,它没用
甚至已按照上述建议授予了所有权限。
错误 - 错误请求 - 400 - 819 毫秒
{ "error": { "code": "AuthenticationError","message": "Error authentication with resource","innerError": { "date": "2020-12-27T09:36:57"," request-id": "4e01eff1-9eb5-42dd-9009-dbdd85aca49a","client-request-id": "5effa441-d7f6-5ef7-5066-1d7153f39712" } }
,IMAGE of ERROR 以下网址错误
"message": "Error authenticating with resource",
依赖报错 idea导入项目后依赖报错,解决方案:https://blog....
错误1:gradle项目控制台输出为乱码 # 解决方案:https://bl...