Desktopová aplikace, která volá webová rozhraní API: Volání webového rozhraní API

Článek
10/24/2023

Teď, když máte token, můžete volat chráněné webové rozhraní API.

Volání webového rozhraní API

Vlastnosti AuthenticationResult v MSAL.NET

Metody získání tokenů vrátí AuthenticationResult. U asynchronních metod Task<AuthenticationResult> vrátí hodnotu.

V MSAL.NET AuthenticationResult zveřejňuje:

AccessToken pro přístup k prostředkům webového rozhraní API. Tento parametr je řetězec, obvykle kódovaný jako Base-64 JWT. Klient by nikdy neměl hledat uvnitř přístupového tokenu. Formát není zaručený, že zůstane stabilní a může být pro prostředek zašifrovaný. Psaní kódu, který závisí na obsahu přístupového tokenu na klientovi, je jedním z největších zdrojů chyb a přerušení logiky klienta. Další informace najdete v tématu Přístupové tokeny.
IdToken pro uživatele. Tento parametr je kódovaný JWT. Další informace najdete v tématu Tokeny ID.
ExpiresOn udává datum a čas vypršení platnosti tokenu.
TenantId obsahuje tenanta, ve kterém byl uživatel nalezen. Pro uživatele typu host ve scénářích Microsoft Entra B2B je ID tenanta typu host, nikoli jedinečný tenant. Při doručení tokenu pro uživatele AuthenticationResult obsahuje také informace o tomto uživateli. V případě důvěrných toků klientů, u kterých jsou tokeny požadovány bez uživatele pro aplikaci, mají tyto informace o uživateli hodnotu null.
Token Scopes , pro který byl vydán.
Jedinečné ID uživatele.

IAccount

MSAL.NET definuje pojem účtu prostřednictvím IAccount rozhraní. Tato změna způsobující chybu poskytuje správnou sémantiku. Stejný uživatel může mít několik účtů v různých adresářích Microsoft Entra. Také MSAL.NET poskytuje lepší informace v případě scénářů hosta, protože jsou k dispozici informace o domovském účtu. Následující diagram znázorňuje strukturu IAccount rozhraní.

IAccount interface structure

Třída AccountId identifikuje účet v konkrétním tenantovi s vlastnostmi zobrazenými v následující tabulce.

Vlastnost	Popis
`TenantId`	Řetězcové vyjádření identifikátoru GUID, což je ID tenanta, ve kterém se účet nachází.
`ObjectId`	Řetězcové vyjádření identifikátoru GUID, což je ID uživatele, který vlastní účet v tenantovi.
`Identifier`	Jedinečný identifikátor účtu. `Identifier` je zřetězení `ObjectId` čárkou a `TenantId` oddělené čárkou. Nejsou kódované v base 64.

Rozhraní IAccount představuje informace o jednom účtu. Stejný uživatel může být přítomný v různých tenantech, což znamená, že uživatel může mít více účtů. Její členové jsou zobrazeni v následující tabulce.

Vlastnost	Popis
`Username`	Řetězec, který obsahuje zobrazenou hodnotu ve formátu UserPrincipalName (UPN), například john.doe@contoso.com. Tento řetězec může mít hodnotu null, na rozdíl od HomeAccountId a HomeAccountId.Identifier, který nebude null. Tato vlastnost nahrazuje `DisplayableId` vlastnost `IUser` v předchozích verzích MSAL.NET.
`Environment`	Řetězec, který obsahuje zprostředkovatele identity pro tento účet, `login.microsoftonline.com`například . Tato vlastnost nahrazuje `IdentityProvider` vlastnost kromě `IdentityProvider` cloudového `IUser`prostředí také informace o tenantovi. V této části je hodnota pouze hostitelem.
`HomeAccountId`	ID účtu domovského účtu uživatele. Tato vlastnost jednoznačně identifikuje uživatele napříč tenanty Microsoft Entra.

Použití tokenu k volání chráněného rozhraní API

Jakmile AuthenticationResult msAL resultvrátí, přidejte ji do autorizační hlavičky HTTP před voláním pro přístup k chráněnému webovému rozhraní API.

httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);
...
}

HttpURLConnection conn = (HttpURLConnection) url.openConnection();

PublicClientApplication pca = PublicClientApplication.builder(clientId)
        .authority(authority)
        .build();

// Acquire a token, acquireTokenHelper would call publicClientApplication's acquireTokenSilently then acquireToken
// see https://github.com/Azure-Samples/ms-identity-java-desktop for a full example
IAuthenticationResult authenticationResult = acquireTokenHelper(pca);

// Set the appropriate header fields in the request header.
conn.setRequestProperty("Authorization", "Bearer " + authenticationResult.accessToken);
conn.setRequestProperty("Accept", "application/json");

String response = HttpClientHelper.getResponseStringFromConn(conn);

int responseCode = conn.getResponseCode();
if(responseCode != HttpURLConnection.HTTP_OK) {
    throw new IOException(response);
}

JSONObject responseObject = HttpClientHelper.processResponse(responseCode, response);

Volání webového rozhraní API v MSAL pro iOS a macOS

Metody získání tokenů vrátí MSALResult objekt. MSALResultaccessToken zveřejňuje vlastnost, kterou lze použít k volání webového rozhraní API. Před voláním pro přístup k chráněnému webovému rozhraní API přidejte přístupový token do hlavičky autorizace HTTP.

Objective-C:

NSMutableURLRequest *urlRequest = [NSMutableURLRequest new];
urlRequest.URL = [NSURL URLWithString:"https://contoso.api.com"];
urlRequest.HTTPMethod = @"GET";
urlRequest.allHTTPHeaderFields = @{ @"Authorization" : [NSString stringWithFormat:@"Bearer %@", accessToken] };

NSURLSessionDataTask *task =
[[NSURLSession sharedSession] dataTaskWithRequest:urlRequest
     completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {}];
[task resume];

Swift:

let urlRequest = NSMutableURLRequest()
urlRequest.url = URL(string: "https://contoso.api.com")!
urlRequest.httpMethod = "GET"
urlRequest.allHTTPHeaderFields = [ "Authorization" : "Bearer \(accessToken)" ]

let task = URLSession.shared.dataTask(with: urlRequest as URLRequest) { (data: Data?, response: URLResponse?, error: Error?) in }
task.resume()

Pokud chcete pro stejného uživatele volat několik rozhraní API, zavolejte AcquireTokenSilentpo získání tokenu pro první rozhraní API . Většinu času získáte token pro ostatní rozhraní API.

var result = await app.AcquireTokenXX("scopeApi1")
                      .ExecuteAsync();

result = await app.AcquireTokenSilent("scopeApi2")
                  .ExecuteAsync();

Interakce se vyžaduje v případě, že:

Uživatel souhlasil s prvním rozhraním API, ale teď musí souhlasit s dalšími obory. Tento druh souhlasu se označuje jako přírůstkový souhlas.
První rozhraní API nepožadovalo vícefaktorové ověřování, ale v dalším případě se to dělá.

var result = await app.AcquireTokenXX("scopeApi1")
                      .ExecuteAsync();

try
{
 result = await app.AcquireTokenSilent("scopeApi2")
                  .ExecuteAsync();
}
catch(MsalUiRequiredException ex)
{
 result = await app.AcquireTokenInteractive("scopeApi2")
                  .WithClaims(ex.Claims)
                  .ExecuteAsync();
}

Pomocí klienta HTTP, jako je Axios, volejte identifikátor URI koncového bodu rozhraní API s přístupovým tokenem jako nosný autorizační token.

const axios = require('axios');

async function callEndpointWithToken(endpoint, accessToken) {
    const options = {
        headers: {
            Authorization: `Bearer ${accessToken}`
        }
    };

    console.log('Request made at: ' + new Date().toString());

    const response = await axios.default.get(endpoint, options);

    return response.data;
}

endpoint = "url to the API"
http_headers = {'Authorization': 'Bearer ' + result['access_token'],
                'Accept': 'application/json',
                'Content-Type': 'application/json'}
data = requests.get(endpoint, headers=http_headers, stream=False).json()

Další kroky

Přechod na další článek v tomto scénáři– Přechod do produkčního prostředí