通过令牌访问 Azure Web App 时访问被拒绝

Question

我们正在测试通过使用 Azure Active Directory 的内置 Azure Web 应用身份验证/授权来锁定托管在 Azure Web 应用上的 API。

我们在 Postman 中使用以下参数调用 POST https://login.microsoftonline.com/{tenantIDhere}/oauth2/v2.0/token：

grant_type: password
client_id: {ID}
username: {username}@{tenenat}.onmicrosoft.com
password: {password}
scope: https://{webappname}.azurewebsites.net/.default
client_secret: {secret}

以下是我得到的回复：

"token_type":"Bearer","scope":"https://{webappname}.azurewebsites.net/user_impersonation https://{webappname}.azurewebsites.net/.default","expires_in":3599,"ext_expires_in":3599,"access_token":"{TOKEN HERE}"}

所以我使用该令牌并尝试通过在标头中传递令牌来访问网页，然后使用 POST 得到以下错误：

https://{webappname}.azurewebsites.net/api/url

Authorization: Bearer {TOKEN HERE}

响应（401 未授权）

You do not have permission to view this directory or page.

我花了几天时间尝试所有我能找到的东西。我错过了什么？？一旦我关闭网络应用程序所需的授权，我就会得到预期的结果。但是使用grant_type：密码，我无法进入！我觉得它与范围有关，但我在这里找不到关于我需要什么的文档。有什么想法吗？

用户可以手动登录网页并拉取数据，因此不是权限问题。这与我相信的令牌有关。

Answer 1

如果您使用的是 v2.0 端点，则范围应为 {your_client_id}/.default。将 https://{webappname}.azurewebsites.net 替换为 Azure AD 中 API 应用的客户端 ID/应用程序 ID。

编辑：

正如韦恩所说，您也可以将scope 设置为{your_client_id}/User.Read 以获取访问令牌。