UseWindowsAzureActiveDirectoryBearerAuthentication и учетные данные уровня приложения

Question

У меня есть SPA (реагирует), который использует ADAL для получения токена из AAD и отправки этого токена на сервер REST, который авторизует этот токен с помощью

UseWindowsAzureActiveDirectoryBearerAuthentication

, и все отлично.Но теперь мне нужен мой REST-сервер для различных вызовов Graph API.Насколько я понимаю, обычно это делается с помощью потока «от имени», что имеет смысл - он позволяет запрашивать график от имени пользователя токена.

ОДНАКО, мне нужно, чтобы мое приложение запрашивалоГрафик API под собственным набором разрешений.Мне это нужно, потому что моему приложению может потребоваться доступ к ресурсам, к которым у этого пользователя маркера нет прав доступа.У меня возникают проблемы с поиском примеров выполнения этого, которые не относятся к потоку от имени.

Нужно ли мне реализовывать совершенно отдельный поток для аутентификации между моим приложением и AAD?Нужно ли, например, нажимать на конечные точки / authorize и / token при запуске приложения?Я подозреваю, что есть пример того, как сделать это «правильным» способом, или, может быть, где-то вспомогательный класс, но я не могу его найти.

Спасибо

Answer 1

Ваш REST-сервер (или внутренний API) может вызывать Graph API с помощью потока учетных данных клиента, действуя как демон и используя соответствующий Application Permissions.

Когда вы говорите «обычно это делается через«от имени от имени», который применяется, когда вы пытаетесь вызвать следующий API от имени пользователей или используете делегированные разрешения.В вашем случае, так как вы хотите вызывать Graph API как само приложение, вам необходимо использовать поток учетных данных клиента.

Вы можете прочитать о предоставлении учетных данных клиента здесь или здесь в зависимости от того, используете ли вы конечную точку V1 или V2.

Примеры кода :

Пример кода V1

Пример кода V2