从GraphAPI项目中访问WebAPI (通过Microsoft.Identity.Web)

Question

我试图使用web项目中的Microsoft.Identity.Web库使用Microsoft进行一个简单的调用。

用户已经登录并从SPA调用受保护的控制器，一切正常-但是现在，这些控件应该对Graph进行调用，而我没有启动和运行它.

我找到了一个完美的示例，它展示了使用wep应用程序 这里是多么容易。就像这样简单：

.AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
   .EnableTokenAcquisitionToCallDownstreamApi(initialScopes)
   .AddMicrosoftGraph(Configuration.GetSection("DownstreamApi"))
   .AddInMemoryTokenCaches();

由于我想在web 项目中使用此功能，我创建了一个该类型的新项目，复制了代码并获得：

MsalUiRequiredException:没有向AcquireTokenSilent调用传递帐户或登录提示。

和

MicrosoftIdentityWebChallengeUserException: IDW10502:由于对用户的挑战，引发了一个MsalUiRequiredException。见增量同意。

然后我想，好吧，因为这是与api相关的，所以我将从

services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
                 .AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAd"))
                 .EnableTokenAcquisitionToCallDownstreamApi(new string[] { "user.read" })
                 .AddMicrosoftGraph(Configuration.GetSection("DownstreamApi"))
                 .AddInMemoryTokenCaches();

至

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
                 .AddMicrosoftIdentityWebApi(Configuration.GetSection("AzureAd"))
                 .EnableTokenAcquisitionToCallDownstreamApi()
                 .AddMicrosoftGraph(Configuration.GetSection("DownstreamApi"))
                 .AddInMemoryTokenCaches();

但我也犯了同样的错误。

如异常消息中提到的那样，我导航到增量同意，并找到了在web中处理增量同意或有条件访问

public async Task<string> CallGraphApiOnBehalfOfUser()
{
 string[] scopes = { "user.read" };

 // we use MSAL.NET to get a token to call the API On Behalf Of the current user
 try
 {
  string accessToken = await _tokenAcquisition.GetAccessTokenForUserAsync(scopes);
  dynamic me = await CallGraphApiOnBehalfOfUser(accessToken);
  return me.UserPrincipalName;
 }
 catch (MicrosoftIdentityWebChallengeUserException ex)
 {
  await _tokenAcquisition.ReplyForbiddenWithWwwAuthenticateHeaderAsync(scopes, ex.MsalUiRequiredException);
  return string.Empty;
 }
 catch (MsalUiRequiredException ex)
 {
  await _tokenAcquisition.ReplyForbiddenWithWwwAuthenticateHeaderAsync(scopes, ex);
  return string.Empty;
 }
}

我试了一下，得到了同样的错误：

IDW10502:由于对用户的挑战，引发了一个MsalUiRequiredException。见增量同意。

当稍后找到示例调用下游Web API的web时，我认为现在一切都变得容易了，但是尽管WebAPI调用了MicrosoftGraph，但他们首先使用的是一个Windows应用程序来登录用户。

在堆栈溢出中，我找到了SPA应用程序中如何从Web API中访问图形API，但不幸的是，这个问题有望过时。

有没有人知道如何在web项目中启动和运行web应用程序的示例代码？(不涉及windows应用程序)

我在用

Microsoft.Graph 3.21.0

Microsoft.Identity.Web版本1.4.0

Answer 1

我认为，与其使用AddMicrosoftGraph，不如使用AddMicrosoftGraphAppOnly。

所以在您的示例中，这将是如下所示：

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddMicrosoftIdentityWebApi(Configuration.GetSection("AzureAd"))
    .EnableTokenAcquisitionToCallDownstreamApi()
    .AddMicrosoftGraphAppOnly(authenticationProvider => new GraphServiceClient(authenticationProvider))
    .AddInMemoryTokenCaches();

Answer 2

2. Web现在调用Microsoft就是你要找的那个。客户端是windows应用程序这一事实与此无关。试一试，让我知道是怎么回事。