asp.net-mvc - 在 MVC API 中使用 Microsoft Azure Active Directory 对 OAuth 2.0 不记名令牌进行身份验证时出现 401

Question

我正在MVC 中编写 API 服务（没有视图，只有 API），并且我想使用通过 client_credentials 流（2-legged OAuth）获取的 OAuth 2.0 令牌。我在 Azure 管理门户中创建了一个 ActiveDirectory 应用程序，并成功获得了一个不记名令牌（请参阅底部 Postman 的屏幕截图）。

然后我安装了Microsoft.Owin.Security.ActiveDirectorynuget 包，创建了一个 Owin 启动类，并在其中编写了以下代码：

public class OwinStartup
{
    public void Configuration(IAppBuilder app)
    {
        // For more information on how to configure your application, visit http://go.microsoft.com/fwlink/?LinkID=316888
        var myoptions = new WindowsAzureActiveDirectoryBearerAuthenticationOptions();
        myoptions.Audience = // my App ID
        myoptions.Tenant = // my tenant
        myoptions.AuthenticationMode = Microsoft.Owin.Security.AuthenticationMode.Passive;
        app.UseWindowsAzureActiveDirectoryBearerAuthentication(myoptions);
    }
}

我添加了一个带有操作的控制器，并且我希望可以使用不记名令牌访问该操作。

这是控制器：

public class TestController : Controller
{
    [Authorize]
    public JsonResult Index()
    {
        return Json(3, JsonRequestBehavior.AllowGet);
    }
}

我正在尝试使用这样的 Authorization 标头来调用它：

但是，我收到 401：“您无权查看此目录或页面”。详情如下：

Module     ManagedPipelineHandler
Notification       ExecuteRequestHandler
Handler    System.Web.Mvc.MvcHandler
Error Code     0x00000000
Requested URL      http://localhost:57872/test
Logon Method       Anonymous
Logon User     Anonymous

看起来我的不记名令牌被忽略了。

我究竟做错了什么？

---

附录：使用 client_credentials 流在 Postman 中创建 Azure Active Directory OAuth 持有者令牌：

Answer 1

似乎我可以通过在 AD 中创建第二个应用程序（客户端应用程序），将其授权给服务应用程序，并将身份验证令牌作为客户端而不是服务请求来使其工作。

所以在令牌请求中，我不得不使用客户端应用程序的 ID 和密码而不是原始的，并添加另一个参数：“resource”，其值为服务应用程序 ID：https://mytenant.onmicrosoft.com/servieappname

我的解决方案基于Microsoft 的这个好例子。将 Windows 商店应用程序替换为充当客户端的 Web 应用程序。

Answer 2

我向控制器添加了以下属性，指示它使用特定的身份验证过滤器。

[HostAuthentication("Bearer")]
public class someController:ApiController{
}

Answer 3

更改您的 TestController，使其派生自 ApiController 而不是 Controller。