Aplikacja desktopowa, która wywołuje webowe API: wywoływanie webowego API

Dotyczy: Zielony okrąg z białym symbolem znacznika wyboru, który wskazuje następującą zawartość dotyczy dzierżawców pracowników. Dzierżawcy pracowników (dowiedz się więcej)

Teraz, gdy masz token, możesz wywołać chroniony internetowy interfejs API.

Wywołaj API internetowe

Właściwości AuthenticationResult w MSAL.NET

Metody uzyskiwania tokenów zwracają wartość AuthenticationResult. W przypadku metod asynchronicznych Task<AuthenticationResult> zwraca.

W MSAL.NET AuthenticationResult uwidacznia:

AccessToken aby internetowy interfejs API uzyskiwał dostęp do zasobów. Ten parametr jest ciągiem, zwykle zakodowanym w formacie Base-64 JWT. Klient nigdy nie powinien szukać wewnątrz tokenu dostępu. Format nie jest gwarantowany, aby zachować stabilność i można go zaszyfrować dla zasobu. Pisanie kodu zależnego od zawartości tokenu dostępu po stronie klienta jest jednym z największych źródeł błędów i problemów z logiką klienta. Aby uzyskać więcej informacji, zobacz Tokeny dostępu.
IdToken dla użytkownika. Ten parametr jest zakodowany w formacie JWT. Aby uzyskać więcej informacji, zobacz Tokeny identyfikatorów.
ExpiresOn informuje o dacie i godzinie wygaśnięcia tokenu.
TenantId zawiera klienta, w którym został znaleziony użytkownik. W scenariuszach Microsoft Entra B2B dla użytkowników-gości identyfikator dzierżawy odnosi się do dzierżawy gościa, a nie dzierżawy głównej. Gdy token jest dostarczany dla użytkownika, AuthenticationResult zawiera również informacje o tym użytkowniku. W przypadku poufnych przepływów klienta, w których tokeny są żądane bez obecności użytkownika dla aplikacji, informacje o użytkowniku mają wartość null.
Element Scopes , dla którego wystawiono token.
Unikatowy identyfikator użytkownika.

IAccount

MSAL.NET definiuje pojęcie konta za pośrednictwem interfejsu IAccount . Ta zmiana powodująca niezgodność zapewnia właściwą semantyka. Ten sam użytkownik może mieć kilka kont w różnych katalogach firmy Microsoft Entra. Ponadto MSAL.NET zapewnia bardziej szczegółowe informacje w przypadku scenariuszy gościa, ponieważ podano dane dotyczące konta domowego. Na poniższym diagramie przedstawiono strukturę interfejsu IAccount .

Struktura interfejsu IAccount

Klasa AccountId identyfikuje konto w określonej dzierżawie z właściwościami przedstawionymi w poniższej tabeli.

Nieruchomość	opis
`TenantId`	Reprezentacja ciągu identyfikatora GUID, który jest identyfikatorem dzierżawcy, w którym znajduje się konto.
`ObjectId`	Reprezentacja ciągu dla GUID, będącego identyfikatorem użytkownika właściciela konta w tenancie.
`Identifier`	Unikatowy identyfikator konta. `Identifier` to łączenie `ObjectId` i `TenantId` oddzielane przecinkami. Nie są one zakodowane w formacie Base 64.

Interfejs IAccount reprezentuje informacje o pojedynczym koncie. Ten sam użytkownik może być obecny w różnych dzierżawach, co oznacza, że użytkownik może mieć wiele kont. Członkowie są pokazani w poniższej tabeli.

Nieruchomość	opis
`Username`	Ciąg zawierający wartość wyświetlaną w formacie UserPrincipalName (UPN), na przykład john.doe@contoso.com. Ten ciąg może mieć wartość null, w przeciwieństwie do parametrów HomeAccountId i HomeAccountId.Identifier, które nie będą mieć wartości null. Ta właściwość zastępuje właściwość `DisplayableIdIUser` w poprzednich wersjach MSAL.NET.
`Environment`	Ciąg zawierający dostawcę tożsamości dla tego konta, na przykład `login.microsoftonline.com`. Ta właściwość zastępuje właściwość `IdentityProvider` w `IUser`, z tą różnicą, że `IdentityProvider` oprócz informacji o środowisku chmury zawiera również informacje o najemcy. W tym miejscu wartość jest jedynie gospodarzem.
`HomeAccountId`	Identyfikator konta domowego użytkownika. Ta właściwość jednoznacznie identyfikuje użytkownika w tenantach Microsoft Entra.

Wywoływanie chronionego interfejsu API przy użyciu tokenu

Po zwróceniu AuthenticationResult przez bibliotekę MSAL w pliku result, dodaj go do nagłówka autoryzacji HTTP przed dokonaniem wywołania w celu uzyskania dostępu do chronionego interfejsu internetowego API.

httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);
...

HttpURLConnection conn = (HttpURLConnection) url.openConnection();

PublicClientApplication pca = PublicClientApplication.builder(clientId)
        .authority(authority)
        .build();

// Acquire a token, acquireTokenHelper would call publicClientApplication's acquireTokenSilently then acquireToken
// see https://github.com/Azure-Samples/ms-identity-java-desktop for a full example
IAuthenticationResult authenticationResult = acquireTokenHelper(pca);

// Set the appropriate header fields in the request header.
conn.setRequestProperty("Authorization", "Bearer " + authenticationResult.accessToken);
conn.setRequestProperty("Accept", "application/json");

String response = HttpClientHelper.getResponseStringFromConn(conn);

int responseCode = conn.getResponseCode();
if(responseCode != HttpURLConnection.HTTP_OK) {
    throw new IOException(response);
}

JSONObject responseObject = HttpClientHelper.processResponse(responseCode, response);

Wywoływanie internetowego interfejsu API w usłudze MSAL dla systemów iOS i macOS

Metody pozyskiwania tokenów zwracają obiekt MSALResult. MSALResult Uwidacznia accessToken właściwość, która może służyć do wywoływania internetowego interfejsu API. Dodaj token dostępu do nagłówka autoryzacji HTTP przed wywołaniem chronionego interfejsu API.

Objective-C:

NSMutableURLRequest *urlRequest = [NSMutableURLRequest new];
urlRequest.URL = [NSURL URLWithString:"https://contoso.api.com"];
urlRequest.HTTPMethod = @"GET";
urlRequest.allHTTPHeaderFields = @{ @"Authorization" : [NSString stringWithFormat:@"Bearer %@", accessToken] };

NSURLSessionDataTask *task =
[[NSURLSession sharedSession] dataTaskWithRequest:urlRequest
     completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {}];
[task resume];

Szybki

let urlRequest = NSMutableURLRequest()
urlRequest.url = URL(string: "https://contoso.api.com")!
urlRequest.httpMethod = "GET"
urlRequest.allHTTPHeaderFields = [ "Authorization" : "Bearer \(accessToken)" ]

let task = URLSession.shared.dataTask(with: urlRequest as URLRequest) { (data: Data?, response: URLResponse?, error: Error?) in }
task.resume()

Aby wywołać kilka interfejsów API dla tego samego użytkownika, po otrzymaniu tokenu dla pierwszego interfejsu API wywołaj metodę AcquireTokenSilent. W większości przypadków uzyskasz token dla innych interfejsów API niepostrzeżenie.

var result = await app.AcquireTokenXX("scopeApi1")
                      .ExecuteAsync();

result = await app.AcquireTokenSilent("scopeApi2")
                  .ExecuteAsync();

Interakcja jest wymagana, gdy:

Użytkownik wyraził zgodę na pierwszy interfejs API, ale teraz musi wyrazić zgodę na więcej zakresów. Ten rodzaj zgody jest określany jako zgoda przyrostowa.
Pierwszy interfejs API nie wymagał uwierzytelniania wieloskładnikowego, ale następny wymaga.

var result = await app.AcquireTokenXX("scopeApi1")
                      .ExecuteAsync();

try
{
 result = await app.AcquireTokenSilent("scopeApi2")
                  .ExecuteAsync();
}
catch(MsalUiRequiredException ex)
{
 result = await app.AcquireTokenInteractive("scopeApi2")
                  .WithClaims(ex.Claims)
                  .ExecuteAsync();
}

Za pomocą klienta HTTP, takiego jak Axios, wywołaj identyfikator URI punktu końcowego interfejsu API z tokenem dostępu jako element nośny autoryzacji.

const axios = require('axios');

async function callEndpointWithToken(endpoint, accessToken) {
    const options = {
        headers: {
            Authorization: `Bearer ${accessToken}`
        }
    };

    console.log('Request made at: ' + new Date().toString());

    const response = await axios.default.get(endpoint, options);

    return response.data;
}

endpoint = "url to the API"
http_headers = {'Authorization': 'Bearer ' + result['access_token'],
                'Accept': 'application/json',
                'Content-Type': 'application/json'}
data = requests.get(endpoint, headers=http_headers, stream=False).json()

Następne kroki

Dowiedz się więcej, tworząc aplikację jednostronicową React (SPA), która loguje użytkowników w poniższej serii samouczków wieloczęściowych.
Eksploracja przykładowego kodu na komputer stacjonarny dla platformy tożsamości Microsoft< c0 />

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-03-05