使用相同的 AAD 令牌调用 SharePoint Online

Question

我有一个能够调用 Graph API 的机器人框架应用程序。有一个 oauth 身份验证流程可以让我的用户登录到机器人应用程序。我可以像以下请求一样查询 Graph API：

• https://graph.microsoft.com/v1.0/me

• https://graph.microsoft.com/v1.0/sites/xxxx.sharepoint.com:/sites/test:/lists/Test/items

我想使用与调用 Graph API 相同的令牌查询 SharePoint Online API。我在 Azure 门户中的 AAD 应用程序中提供了必要的权限。我写了下面的代码，但我从 SPO API 得到了 401 Not Authorized 异常。如何使用相同的令牌调用 SPO API？

ClientContext context = TokenHelper.GetClientContextWithAccessToken("https://mytenant.sharepoint.com/sites/test/", _token);
SharePoint.Client.List testList = context.Web.Lists.GetByTitle("Test");
CamlQuery query = CamlQuery.CreateAllItemsQuery(100);
ListItemCollection items = testList.GetItems(query);
context.Load(items);
context.ExecuteQuery(); //Fires 401 error

Answer 1

您不能也不应该将 access_token 与 Microsoft Graph 一起用作调用 SPO API 的受众。

原因：

在 Azure AD access_token 中，它必须包含“aud”声明。

• 它标识了令牌的预期接收者。在访问令牌中，受众是资源应用的应用程序 ID 或标识符，分配给 Azure 门户中的应用程序。 资源应用应验证此值并在值不匹配时拒绝令牌。

• 因此，在第一个 access_token 中，它的受众应该是 Microsoft Graph API，而不是 SPO API。 当您尝试使用 access_token 调用 Microsoft Graph API 时，应验证“aud”声明。 但是，如果您尝试使用该 access_token 调用 SPO API，“aud”声明值将不会被验证，SPO API 会将其视为无效的 acc_token 并给出“401 未授权”响应。

在 Azure AD 中查看有关 access_token 的更多详细信息：https://docs.microsoft.com/en-us/azure/active-directory/develop/access-tokens#validating-tokens

更多信息：

如果要使用 SPO API，我们需要先使用Office 365 Discovery service 找到正确的服务 API 端点。但是，Microsoft 不再支持此功能，因为新创建的应用程序由于弃用而无法访问 O365 发现端点。

目前，我们建议您改用 Microsoft Graph API。