Aplikasi web yang memanggil API web: Memperoleh token untuk aplikasi

Anda telah membangun objek aplikasi klien Anda. Sekarang, Anda akan menggunakannya untuk memperoleh token untuk memanggil API web. Pada ASP.NET atau ASP.NET Core, memanggil API web dilakukan di pengontrol:

• Dapatkan token untuk API web menggunakan cache token. Untuk mendapatkan token ini, Anda memanggil metode Microsoft Authentication Library (MSAL) AcquireTokenSilent (atau yang setara di Microsoft.Identity.Web).
• Hubungi API yang dilindungi, yang meneruskan token akses ke sana sebagai parameter.

Inti ASP.NET

Microsoft.Identity.Web menambahkan metode ekstensi yang menyediakan layanan kemudahan untuk memanggil Microsoft Graph atau API web downstream. Metode ini dijelaskan secara terperinci di Aplikasi web yang memanggil API web: Panggil API. Dengan metode pembantu ini, Anda tidak perlu memperoleh token secara manual.

Namun, jika Anda ingin memperoleh token secara manual, kode berikut menunjukkan contoh penggunaan Microsoft.Identity.Web untuk melakukannya di pengontrol rumah. Ini memanggil Microsoft Graph menggunakan REST API (bukan Microsoft Graph SDK). Untuk mendapat token untuk memanggil API hilir, Anda menyuntikkan layanan ITokenAcquisition dengan injeksi dependensi di konstruktor pengontrol Anda (atau konstruktor halaman Anda jika Anda menggunakan Blazor), dan Anda menggunakannya dalam tindakan pengontrol Anda, yang mendapatkan token untuk pengguna (GetAccessTokenForUserAsync) atau untuk aplikasi itu sendiri (GetAccessTokenForAppAsync) dalam skenario daemon.

Metode pengontrol dilindungi oleh atribut [Authorize] yang memastikan hanya pengguna terautentikasi yang dapat menggunakan aplikasi web.

[Authorize]
public class HomeController : Controller
{
 readonly ITokenAcquisition tokenAcquisition;

 public HomeController(ITokenAcquisition tokenAcquisition)
 {
  this.tokenAcquisition = tokenAcquisition;
 }

 // Code for the controller actions (see code below)

}

Layanan ITokenAcquisition ini disuntikkan oleh ASP.NET menggunakan injeksi dependensi.

Berikut ini adalah kode yang disederhanakan untuk tindakan HomeController, yang mendapat token untuk memanggil Microsoft Graph:

[AuthorizeForScopes(Scopes = new[] { "user.read" })]
public async Task<IActionResult> Profile()
{
 // Acquire the access token.
 string[] scopes = new string[]{"user.read"};
 string accessToken = await tokenAcquisition.GetAccessTokenForUserAsync(scopes);

 // Use the access token to call a protected web API.
 HttpClient client = new HttpClient();
 client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
 string json = await client.GetStringAsync(url);
}

Untuk lebih memahami kode yang diperlukan untuk skenario ini, lihat langkah fase 2 (2-1-Web app Calls Microsoft Graph) dari tutorial ms-identity-aspnetcore-webapp-tutorial.

Atribut AuthorizeForScopes di atas tindakan pengontrol (atau halaman Razor jika Anda menggunakan templat Razor) disediakan oleh Microsoft.Identity.Web. Ini memastikan bahwa pengguna dimintai persetujuan jika diperlukan, dan secara bertahap.

Ada variasi kompleks lainnya, seperti:

• Memanggil beberapa API.
• Memproses persetujuan inkremental dan akses bersyarat.

Langkah-langkah lanjutan ini dibahas dalam bab 3 dari tutorial 3-WebApp-multi-API.

ASP.NET

Kode untuk ASP.NET mirip dengan kode yang ditampilkan untuk ASP.NET Core:

• Tindakan pengontrol, yang dilindungi oleh atribut [Otorisasi], mengekstrak ID penyewa dan ID pengguna dari anggota ClaimsPrincipal pengontrol. (ASP.NET menggunakan HttpContext.User.)
• Dari sana, ini membangun objek IConfidentialClientApplication MSAL.NET.
• Akhirnya, ini menyebut metode AcquireTokenSilent dari aplikasi klien rahasia.
• Jika interaksi diperlukan, aplikasi web perlu menantang pengguna (masuk kembali) dan meminta klaim lebih lanjut.

Catatan

Cakupan harus merupakan nama cakupan yang sepenuhnya memenuhi syarat. Misalnya,({api_uri}/scope).

Cuplikan kode berikut diekstraks dari HomeController.cs#L157-L192 dalam sampel kode ms-identity-aspnet-webapp-openidconnect ASP.NET MVC:

public async Task<ActionResult> ReadMail()
{
    IConfidentialClientApplication app = MsalAppBuilder.BuildConfidentialClientApplication();
    AuthenticationResult result = null;
    var account = await app.GetAccountAsync(ClaimsPrincipal.Current.GetMsalAccountId());
    string[] scopes = { "Mail.Read" };

    try
    {
        // try to get token silently
        result = await app.AcquireTokenSilent(scopes, account).ExecuteAsync().ConfigureAwait(false);
    }
    catch (MsalUiRequiredException)
    {
        ViewBag.Relogin = "true";
        return View();
    }

    // More code here
    return View();
}

Untuk detailnya, lihat kode untuk BuildConfidentialClientApplication() dan GetMsalAccountId dalam sampel kode

Java

Dalam sampel Java, kode yang memanggil API ada dalam metode getUsersFromGraph di AuthPageController.java#L62.

Metode ini mencoba memanggil getAuthResultBySilentFlow. Jika pengguna perlu menyetujui lebih banyak cakupan, kode memproses objek MsalInteractionRequiredException untuk menantang pengguna.

@RequestMapping("/msal4jsample/graph/me")
public ModelAndView getUserFromGraph(HttpServletRequest httpRequest, HttpServletResponse response)
        throws Throwable {

    IAuthenticationResult result;
    ModelAndView mav;
    try {
        result = authHelper.getAuthResultBySilentFlow(httpRequest, response);
    } catch (ExecutionException e) {
        if (e.getCause() instanceof MsalInteractionRequiredException) {

            // If the silent call returns MsalInteractionRequired, redirect to authorization endpoint
            // so user can consent to new scopes.
            String state = UUID.randomUUID().toString();
            String nonce = UUID.randomUUID().toString();

            SessionManagementHelper.storeStateAndNonceInSession(httpRequest.getSession(), state, nonce);

            String authorizationCodeUrl = authHelper.getAuthorizationCodeUrl(
                    httpRequest.getParameter("claims"),
                    "User.Read",
                    authHelper.getRedirectUriGraph(),
                    state,
                    nonce);

            return new ModelAndView("redirect:" + authorizationCodeUrl);
        } else {

            mav = new ModelAndView("error");
            mav.addObject("error", e);
            return mav;
        }
    }

    if (result == null) {
        mav = new ModelAndView("error");
        mav.addObject("error", new Exception("AuthenticationResult not found in session."));
    } else {
        mav = new ModelAndView("auth_page");
        setAccountInfo(mav, httpRequest);

        try {
            mav.addObject("userInfo", getUserInfoFromGraph(result.accessToken()));

            return mav;
        } catch (Exception e) {
            mav = new ModelAndView("error");
            mav.addObject("error", e);
        }
    }
    return mav;
}
// Code omitted here

Python

Dalam sampel Python, kode yang memanggil Microsoft Graph ada di aplikasi.py#L53-L62.

Kode ini mencoba mendapat token dari cache token. Kemudian, setelah mengatur header otorisasi, kode ini memanggil API web. Jika tidak bisa mendapat token, token akan masuk lagi ke pengguna.

@app.route("/graphcall")
def graphcall():
    token = _get_token_from_cache(app_config.SCOPE)
    if not token:
        return redirect(url_for("login"))
    graph_data = requests.get(  # Use token to call downstream service.
        app_config.ENDPOINT,
        headers={'Authorization': 'Bearer ' + token['access_token']},
        ).json()
    return render_template('display.html', result=graph_data)

Langkah berikutnya

Lanjutkan ke artikel berikutnya dalam skenario ini, yaitu Panggil API web.