oAuth2 - AADSTS90009：连接 Azure Active Directory 时出现问题答案

【问题标题】：oAuth2 - AADSTS90009 : Issue in connecting Azure Active DirectoryoAuth2 - AADSTS90009：连接 Azure Active Directory 时出现问题
【发布时间】：2019-02-26 23:03:35
【问题描述】：

连接到 Azure Active Directory 时出现以下错误

“AADSTS90009：应用程序‘xxxxxxxxxxxxxxxxx’正在为自己请求令牌。仅当使用基于 GUID 的应用程序标识符指定资源时才支持此方案。

【问题讨论】：

请添加有关您尝试执行的操作和当前 Azure AD 配置（应用注册、权限等）的更多信息。鉴于该错误，您似乎正在使用与客户端相同的应用程序为应用程序（资源等于 App ID URI）请求访问令牌。
嗨.. 我从 AAD 配置团队获得以下信息，使用 Postman 调用令牌 URL
嗨.. 我从 AAD 配置团队获得以下信息，使用 Postman login.microsoftonline.com{tenant_id}/oauth2/token grant_type:"password" client_id:"XXXXXX" 调用令牌 URL（应用程序ID）用户名：“giri@xx.com”密码：“XXXX”资源：“XXXXXX”（应用程序ID URI）client_secret：“XXXXXXX”
应用类型：Web APP API
你想用web app调用你的web API吗？

标签： azure azure-active-directory

【解决方案1】：

如果您想使用 Web 应用程序调用 Web API，请参考sample。详细步骤。

在 Azure 门户中注册您的 Web API 应用程序。更多详情请参考document。
在 Azure 门户中注册您的 Web 应用程序
授予权限。（在您的网络应用程序中添加您的网络 API 应用程序）

一个。选择您的网络应用程序
湾。设置权限。
获取访问令牌

方法：POST

网址：https://login.microsoftonline.com/ [目录 ID]/oauth2/token

标题

缓存控制：无缓存内容类型：application/x-www-form-urlencoded

身体

grant_type : 密码资源：您的应用 ID URI client_id : [应用程序 ID] client_secret : [键值] 用户名：[帐户名] 密码：[密码]

【讨论】：

【解决方案2】：

此错误表示您在资源参数中提供的字段正在为自己请求令牌。

或者，您可以提供您已注册的 Web API 或其他资源的应用 ID URI，以获取该资源（Microsoft Graph、Office API 等）的令牌。

【讨论】：

【解决方案3】：

错误信息表明你正在使用 Azure AD 应用程序 url 作为资源。

正如我们提到的，您需要使用您想要作为资源访问的 WebApp API（不是 Azure AD 应用程序）。更多信息请参考link。

POST https://login.microsoftonline.com/{tenantId}/oauth2/token 

Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&client_id={clientId}&client_secret={secret key}=&resource={resourceaddress}

注意：如果我们要使用OAuth 2 grant type: password，我们需要注册Azure AD native应用。更多信息请参考另一个SO thread。

【讨论】：