Aplikacja klasyczna, która wywołuje internetowe interfejsy API: wywoływanie internetowego interfejsu API

Artykuł
07/04/2024

Teraz, gdy masz token, możesz wywołać chroniony internetowy interfejs API.

Wywoływanie interfejsu API sieci Web

Właściwości AuthenticationResult w MSAL.NET

Metody uzyskiwania tokenów zwracają wartość AuthenticationResult. W przypadku metod asynchronicznych Task<AuthenticationResult> zwraca wartość .

W MSAL.NET AuthenticationResult uwidacznia:

AccessToken aby internetowy interfejs API uzyskiwał dostęp do zasobów. Ten parametr jest ciągiem, zwykle zakodowanym w formacie Base-64 JWT. Klient nigdy nie powinien szukać wewnątrz tokenu dostępu. Format nie jest gwarantowany, aby zachować stabilność i można go zaszyfrować dla zasobu. Pisanie kodu zależnego od zawartości tokenu dostępu od klienta jest jednym z największych źródeł błędów i podziałów logiki klienta. Aby uzyskać więcej informacji, zobacz Tokeny dostępu.
IdToken dla użytkownika. Ten parametr jest zakodowany w formacie JWT. Aby uzyskać więcej informacji, zobacz Tokeny identyfikatorów.
ExpiresOn informuje o dacie i godzinie wygaśnięcia tokenu.
TenantId zawiera dzierżawę, w której został znaleziony użytkownik. W przypadku użytkowników-gości w scenariuszach firmy Microsoft Entra B2B identyfikator dzierżawy jest dzierżawą gościa, a nie unikatową dzierżawą. Gdy token jest dostarczany dla użytkownika, AuthenticationResult zawiera również informacje o tym użytkowniku. W przypadku poufnych przepływów klienta, w których tokeny są żądane bez użytkownika dla aplikacji, te informacje o użytkowniku mają wartość null.
Element Scopes , dla którego wystawiono token.
Unikatowy identyfikator użytkownika.

IAccount

MSAL.NET definiuje pojęcie konta za pośrednictwem interfejsu IAccount . Ta zmiana powodująca niezgodność zapewnia właściwą semantyka. Ten sam użytkownik może mieć kilka kont w różnych katalogach firmy Microsoft Entra. Ponadto MSAL.NET zapewnia lepsze informacje w przypadku scenariuszy gościa, ponieważ podano informacje o koncie głównym. Na poniższym diagramie przedstawiono strukturę interfejsu IAccount .

Struktura interfejsu IAccount

Klasa AccountId identyfikuje konto w określonej dzierżawie z właściwościami przedstawionymi w poniższej tabeli.

Właściwości	opis
`TenantId`	Reprezentacja ciągu dla identyfikatora GUID, który jest identyfikatorem dzierżawy, w której znajduje się konto.
`ObjectId`	Reprezentacja ciągu dla identyfikatora GUID, który jest identyfikatorem użytkownika, który jest właścicielem konta w dzierżawie.
`Identifier`	Unikatowy identyfikator konta. `Identifier` to łączenie `ObjectId` i `TenantId` oddzielane przecinkami. Nie są one zakodowane w formacie Base 64.

Interfejs IAccount reprezentuje informacje o pojedynczym koncie. Ten sam użytkownik może być obecny w różnych dzierżawach, co oznacza, że użytkownik może mieć wiele kont. Jego elementy członkowskie są wyświetlane w poniższej tabeli.

Właściwości	opis
`Username`	Ciąg zawierający wartość wyświetlaną w formacie UserPrincipalName (UPN), na przykład john.doe@contoso.com. Ten ciąg może mieć wartość null, w przeciwieństwie do parametrów HomeAccountId i HomeAccountId.Identifier, które nie będą mieć wartości null. Ta właściwość zastępuje `DisplayableId` właściwość `IUser` w poprzednich wersjach MSAL.NET.
`Environment`	Ciąg zawierający dostawcę tożsamości dla tego konta, na przykład `login.microsoftonline.com`. Ta właściwość zastępuje `IdentityProvider` właściwość `IUser`, z tą różnicą, że `IdentityProvider` oprócz środowiska chmury zawiera również informacje o dzierżawie. W tym miejscu wartość jest tylko hostem.
`HomeAccountId`	Identyfikator konta głównego użytkownika. Ta właściwość jednoznacznie identyfikuje użytkownika w dzierżawach firmy Microsoft Entra.

Wywoływanie chronionego interfejsu API przy użyciu tokenu

Po AuthenticationResult powrocie przez bibliotekę MSAL w resultpliku dodaj go do nagłówka autoryzacji HTTP przed wywołaniem w celu uzyskania dostępu do chronionego internetowego interfejsu API.

httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);
...

HttpURLConnection conn = (HttpURLConnection) url.openConnection();

PublicClientApplication pca = PublicClientApplication.builder(clientId)
        .authority(authority)
        .build();

// Acquire a token, acquireTokenHelper would call publicClientApplication's acquireTokenSilently then acquireToken
// see https://github.com/Azure-Samples/ms-identity-java-desktop for a full example
IAuthenticationResult authenticationResult = acquireTokenHelper(pca);

// Set the appropriate header fields in the request header.
conn.setRequestProperty("Authorization", "Bearer " + authenticationResult.accessToken);
conn.setRequestProperty("Accept", "application/json");

String response = HttpClientHelper.getResponseStringFromConn(conn);

int responseCode = conn.getResponseCode();
if(responseCode != HttpURLConnection.HTTP_OK) {
    throw new IOException(response);
}

JSONObject responseObject = HttpClientHelper.processResponse(responseCode, response);

Wywoływanie internetowego interfejsu API w usłudze MSAL dla systemów iOS i macOS

Metody uzyskiwania tokenów zwracają MSALResult obiekt. MSALResult Uwidacznia accessToken właściwość, która może służyć do wywoływania internetowego interfejsu API. Dodaj token dostępu do nagłówka autoryzacji HTTP przed wywołaniem w celu uzyskania dostępu do chronionego internetowego interfejsu API.

Objective-C:

NSMutableURLRequest *urlRequest = [NSMutableURLRequest new];
urlRequest.URL = [NSURL URLWithString:"https://contoso.api.com"];
urlRequest.HTTPMethod = @"GET";
urlRequest.allHTTPHeaderFields = @{ @"Authorization" : [NSString stringWithFormat:@"Bearer %@", accessToken] };

NSURLSessionDataTask *task =
[[NSURLSession sharedSession] dataTaskWithRequest:urlRequest
     completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {}];
[task resume];

Szybki:

let urlRequest = NSMutableURLRequest()
urlRequest.url = URL(string: "https://contoso.api.com")!
urlRequest.httpMethod = "GET"
urlRequest.allHTTPHeaderFields = [ "Authorization" : "Bearer \(accessToken)" ]

let task = URLSession.shared.dataTask(with: urlRequest as URLRequest) { (data: Data?, response: URLResponse?, error: Error?) in }
task.resume()

Aby wywołać kilka interfejsów API dla tego samego użytkownika, po otrzymaniu tokenu dla pierwszego interfejsu API wywołaj metodę AcquireTokenSilent. W większości przypadków uzyskasz token dla innych interfejsów API.

var result = await app.AcquireTokenXX("scopeApi1")
                      .ExecuteAsync();

result = await app.AcquireTokenSilent("scopeApi2")
                  .ExecuteAsync();

Interakcja jest wymagana, gdy:

Użytkownik wyraził zgodę na pierwszy interfejs API, ale teraz musi wyrazić zgodę na więcej zakresów. Ten rodzaj zgody jest określany jako zgoda przyrostowa.
Pierwszy interfejs API nie wymagał uwierzytelniania wieloskładnikowego, ale następny.

var result = await app.AcquireTokenXX("scopeApi1")
                      .ExecuteAsync();

try
{
 result = await app.AcquireTokenSilent("scopeApi2")
                  .ExecuteAsync();
}
catch(MsalUiRequiredException ex)
{
 result = await app.AcquireTokenInteractive("scopeApi2")
                  .WithClaims(ex.Claims)
                  .ExecuteAsync();
}

Za pomocą klienta HTTP, takiego jak Axios, wywołaj identyfikator URI punktu końcowego interfejsu API z tokenem dostępu jako element nośny autoryzacji.

const axios = require('axios');

async function callEndpointWithToken(endpoint, accessToken) {
    const options = {
        headers: {
            Authorization: `Bearer ${accessToken}`
        }
    };

    console.log('Request made at: ' + new Date().toString());

    const response = await axios.default.get(endpoint, options);

    return response.data;
}

endpoint = "url to the API"
http_headers = {'Authorization': 'Bearer ' + result['access_token'],
                'Accept': 'application/json',
                'Content-Type': 'application/json'}
data = requests.get(endpoint, headers=http_headers, stream=False).json()

Następne kroki

Dowiedz się więcej, tworząc aplikację jednostronicową React (SPA), która loguje użytkowników w poniższej serii samouczków wieloczęściowych.
Eksplorowanie przykładów kodu klasycznego Platforma tożsamości Microsoft

Udostępnij za pośrednictwem