使用來自使用Microsoft Graph的守護進程的委託權限

Question

我有一個守護進程訪問某些用戶的電子郵件以便自動轉發它們。我在Azure中註冊了守護進程並請求了許多由管理員授予的應用程序權限。 然後，我可以獲得oAuth2令牌，並且應用程序按照預期運行。

現在我的IT部門問我，如果不是每個郵箱都擁有完整的權限，應用程序可以模擬一個用戶，以便只有該用戶的電子郵件可以被守護程序讀取和轉發。

因此，我在Azure上註冊了另一個應用程序，只請求委託權限（我選擇了不需要管理員批准的所有委託權限，共44項）。 然後，我構建了我的授權URL並將其發送給相關用戶。用戶點擊鏈接，獲得了應用程序請求的所有權限列表，並同意將這些權限授予應用程序。

我的應用程序隨後收到授權碼，如預期的那樣。然後MS documentation聲明我可以使用該代碼獲取用於訪問用戶郵箱的令牌。所以，我建立了利用微軟提供的其他說明參數：

"grant_type=authorization_code" + 
"&client_id={appID}+ 
"&client_secret={appSecret} + 
"&code={auth_code}+ 
"&redirect_uri={Same_Redirect_URI_used_when_obtaining_Authorization_Code} + 
"&resource=https://graph.microsoft.com"  

而且我發出了與此內容的授權URL POST請求，如文檔中規定：

https://login.microsoftonline.com/{myTenantID}/oauth2/token 

現在的怪關於這一點的是，只要我的腳本運行xhr.send(tmpSnd);方法（其中tmpSnd包含上述REST參數），我立即得到msxml3.dll: Access is denied error。至少，我希望這個錯誤能夠作爲POST反應的一部分回來，但我甚至從來沒有通過send（）方法。

這裏的JS代碼，我使用它來獲取令牌：

this.getDelegatedToken = function(appEndPoint, appID, appSecret,auth_Code,appURI){ 
    var result=null; 
    var GRAPH_URL_TOKEN = "https://login.microsoftonline.com/" + appEndPoint + "/oauth2/token"; 
    xhr.open("POST", GRAPH_URL_TOKEN, false); 
    xhr.setRequestHeader("Content-Type","application/x-www-form-urlencoded"); 

    var params ="grant_type=authorization_code" + 
     "&client_id="  + appID + 
     "&client_secret=" + appSecret + 
     "&code="   + auth_Code+ 
     "&redirect_uri=" +appURI + 
     "&resource=https://graph.microsoft.com"; 

    xhr.send(params); 
    if(xhr.status==200) { 
     result = JSON.parse(xhr.responseText); 
    } 
    return result; 
    }; 

我覺得我讀的地方，只使用委託權限可能會導致守護進程的問題，但對我的生活我不記得我讀它的地方（使用Graph需要大量閱讀！）。

EDIT

如果我設置&代碼參數爲無效值，我收到預期的錯誤消息（「代碼格式不正確或無效」）。如果我將它設置爲之前的授權碼，並且過期，我也會收到預期的錯誤消息（「提供的授權碼或刷新碼已過期」）。所以看起來我所有的POST參數都是有效的，因爲當我故意傳遞一個無效的錯誤消息時，我會收到正確的錯誤消息。我只是不明白爲什麼，當我通過所有正確的參數時，我甚至不會收到錯誤響應，我只能從XHR對象獲取訪問被拒絕的消息。

任何人都可以在代碼或過程中發現任何明顯的錯誤嗎？

Answer 1

一旦您擁有授權碼，您需要對令牌端點進行POST。見here

現在你已經獲得的授權碼和用戶已被授予 許可，您可以兌換一個訪問令牌代碼 所需的資源，通過發送POST請求/token 端點：

//換行符的可讀性只

POST /{tenant}/oauth2/token HTTP/1.1 
Host: https://login.microsoftonline.com 
Content-Type: application/x-www-form-urlencoded 
grant_type=authorization_code 
&client_id=2d4d11a2-f814-46a7-890a-274a72a7309e 
&code=AwABAAAAvPM1KaPlrEqdFSBzjqfTGBCmLdgfSTLEMPGYuNHSUYBrqqf_ZT_p5uEAEJJ_nZ3UmphWygRNy2C3jJ239gV_DBnZ2syeg95Ki-374WHUP-i3yIhv5i-7KU2CEoPXwURQp6IVYMw-DjAOzn7C3JCu5wpngXmbZKtJdWmiBzHpcO2aICJPu1KvJrDLDP20chJBXzVYJtkfjviLNNW7l7Y3ydcHDsBRKZc3GuMQanmcghXPyoDg41g8XbwPudVh7uCmUponBQpIhbuffFP_tbV8SNzsPoFz9CLpBCZagJVXeqWoYMPe2dSsPiLO9Alf_YIe5zpi-zY4C3aLw5g9at35eZTfNd0gBRpR5ojkMIcZZ6IgAA 
&redirect_uri=https%3A%2F%2Flocalhost%2Fmyapp%2F 
&resource=https%3A%2F%2Fservice.contoso.com%2F 
&client_secret=p@ssw0rd 

//NOTE: client_secret only required for web apps 

它似乎並不像你在你的代碼中正確地做到了這一點。讓我知道如果這有幫助！

Answer 2

我假設，當你使用客戶端的祕密，你得到應用程序唯一的token.This令牌沒有資源的訪問。要使用App Only令牌訪問資源，您需要在Azure門戶上獲得應用程序權限（而不是委派）。添加應用程序權限檢查並查看您是否仍然獲得訪問被拒絕錯誤