访问令牌验证失败 Microsoft Graph API

Question

我正在 C# 中构建 console application。
我想调用 Microsoft Graph API 以访问和编辑我的 SharePoint 中的一些 Excel 文件这样我就可以自动化我组织中的一些流程。

应用程序的逻辑很简单。

1. 我调用Azure Active Directory 以使用客户端凭据流验证此控制台应用程序，这意味着我们将提供clientsID 和AppKey。我从 Azure Active Directory > App Registrations 获取了 clientsID 和 AppKey。
2. 然后我想接收访问令牌并使用它向 Microsoft Graph API 发出 GET 请求。
   例如https://graph.microsoft.com/v1.0/me/
   
   然后回应我得到的是这样的：

{
  "error": {
    "code": "InvalidAuthenticationToken",
    "message": "Access token validation failure. Invalid audience.",
    "innerError": {
      "request-id": "0a3ec**************",
      "date": "2019-10-15T13:54:33"
    }
  }
}

下面你会找到我的应用程序的完整代码，其中有两种获取访问令牌和调用 Graph API 的方法：

using Microsoft.IdentityModel.Clients.ActiveDirectory;
using System;
using System.Collections.Generic;
using System.Globalization;
using System.IdentityModel.Tokens;
using System.IO;
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Text;
using System.Threading.Tasks;
using AuthenticationContext = Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext;

namespace Project_Budget
{
    class Program
    {
        private const string clientId = "14f1****************";
        private const string aadInstance = "https://login.microsoftonline.com/{0}";
        private const string tenant = "******.onmicrosoft.com";
        private const string resource = "https://graph.windows.net";
        private const string appKey = "IKV***********";
        static string authority = String.Format(CultureInfo.InvariantCulture, aadInstance, tenant);

        private static HttpClient httpClient = new HttpClient();
        private static AuthenticationContext context = null;
        private static ClientCredential credential = null;

        static void Main(string[] args)
        {
            context = new AuthenticationContext(authority);
            credential = new ClientCredential(clientId,appKey);

            Task<string> token = GetToken();
            token.Wait();
            //Console.WriteLine(token.Result + "\n");

            Task<string> graphCall = GetExcelFile(token.Result);
            graphCall.Wait();
            Console.WriteLine(graphCall.Result + "\n");
            Console.ReadLine();

        }

        private static async Task<string> GetExcelFile(string result)
        {
            string apiJsonResult = null;
            
            var apiCallString = "https://graph.microsoft.com/v1.0/me/";
         
            httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result);
            var getResult = await httpClient.GetAsync(apiCallString);

            if (getResult.Content != null)
            {
                apiJsonResult = await getResult.Content.ReadAsStringAsync();
            }

            
            return apiJsonResult;
        }

        private static async Task<string> GetToken() 
        {
            AuthenticationResult result = null;
            string token = null;
            result = await context.AcquireTokenAsync(resource, credential); //authentication context object
            token = result.AccessToken;
            return token;
        }

        
    }
}

我已授予应用运行所需的所有访问权限。我也在Graph Explorer 上运行查询并正常运行。
为什么我会在控制台应用程序上收到此错误？

Answer 1

理想情况下，资源实际上应该是

private const string resource = "https://graph.microsoft.com";

但您仍然需要选择要在应用程序中定位的范围。 您目前执行此操作的方式似乎确实获取/设置了 Graph Explorer 为您完成的相关范围。

我建议您遵循这个关于如何构建 dot net core 控制台应用程序的快速入门教程，您应该可以立即启动并运行。 它使用的 MSAL 库比您在场景中使用的 ADAL 库效果更好。

https://docs.microsoft.com/en-us/graph/tutorials/dotnet-core

Answer 2

我认为问题在于您在代码中指定的 resource 值。

当前代码：（此资源值 https://graph.windows.net 对应于旧 API 的 Azure AD Graph API）

private const string resource = "https://graph.windows.net";

尝试将其更改为：（此资源值 https://graph.microsoft.com 对应于较新的 Microsoft Graph API，这是您在稍后的代码中调用的 var apiCallString = "https://graph.microsoft.com/v1.0/me/";）

private const string resource = "https://graph.microsoft.com";