2

我正在按照此示例https://github.com/Azure-Samples/active-directory-dotnet-native-headless使用用户凭据(uname,pwd)针对 Azure AD 对用户进行身份验证,以获取承载访问令牌。此令牌将在 Authorization 标头中发送到 Rest API。REST API 使用令牌授权使用 ClaimPrincipal 的用户。

现在,在我的 Rest API 中,我想验证用户是否属于特定的安全组。为此,我需要使用 Graph API。但问题是,每次我将相同的承载令牌传递给我的 REST API 从客户端收到的 Graph API 时,它都会引发“访问令牌格式错误”错误。

在其中一个示例(https://github.com/Azure-Samples/active-directory-dotnet-webapi-onbehalfof/blob/master/TodoListService/Controllers/TodoListController.cs)中,我发现我们需要重新生成一个新的承载令牌调用 Graph API,是否需要重新生成新的 Token 才能调用 Graph API?我不能使用客户端发送到我的 REST API 的相同承载令牌来调用 Graph API 吗?

4

1 回答 1

1

代币就像银行支票。为您开出的支票只能由您兑现。如果您想从您的 Web API 调用图表,您可以使用您收到的令牌作为获取专门用于图表的新令牌的起点。有关在这种情况下使用的模式,请参阅https://azure.microsoft.com/en-us/documentation/samples/active-directory-dotnet-webapi-onbehalfof/,您只需用图形替换自定义 API。

于 2016-02-19T07:26:39.347 回答