c# - 守护进程应用程序和范围

Question

因此，我尝试看看是否可以支持 C# 守护程序应用程序可以访问受 MSAL.NET 和 OAuth2 范围保护的自定义 Web API 的场景。截至目前，我认为没有办法做到这一点。

库和工具集的版本是:

.NET Core 2.2 Microsoft.Identity.Client 4.1.0

客户是

var app = ConfidentialClientApplicationBuilder.Create("<client app id>")
                .WithClientSecret("<client_secret>")
                .WithAuthority("https://login.microsoftonline.com/<tenant_id_that_hosts_the_web_api>")
                .Build();

然后获取token

await app.AcquireTokenForClient(new string[] { "api://<app_id_of_the_web_api>/.default" });

此时，我确实获得了 token ，我可以使用该 token 调用使用 MSAL 和具有上述应用 ID 的 Azure 应用程序保护的自定义 Web API 端点。这不起作用，因为我在端点上有基于策略的授权，期望在 Azure AD 应用程序中定义特定的自定义范围。

问题是，如何配置客户端和 Azure AD，以便获得作为 Web API 声明传入的特定范围？

Answer 1

您需要注册两个应用程序，一个用于守护程序应用程序(客户端应用程序)，一个用于Web api(后端应用程序)。

单击 Web api 应用程序 -> 公开 API。

点击守护程序应用程序 -> API 权限 -> 添加权限 -> 我的 API -> 选择 Web api 应用程序 -> 选择权限。

然后是客户端

var app = ConfidentialClientApplicationBuilder.Create("<client app id>")
                .WithClientSecret("<client app client_secret>")
                .WithAuthority("https://login.microsoftonline.com/<tenant_id>")
                .Build();

范围:

await app.AcquireTokenForClient(new string[] { "api://<app_id_of_the_web_api>/read" });

引用这个sample 。您可以将您的 Web API 视为 Microsoft Graph API。