Skrivbordsapp som anropar webb-API:er: Anropa ett webb-API

Artikel
10/24/2023

Nu när du har en token kan du anropa ett skyddat webb-API.

Anropa en webb-API

AuthenticationResult-egenskaper i MSAL.NET

Metoderna för att hämta token returnerar AuthenticationResult. För asynkrona metoder Task<AuthenticationResult> returnerar.

I MSAL.NET AuthenticationResult exponeras:

AccessToken för att webb-API:et ska få åtkomst till resurser. Den här parametern är en sträng, vanligtvis en Base-64-kodad JWT. Klienten bör aldrig titta i åtkomsttoken. Formatet är inte garanterat stabilt och kan krypteras för resursen. Att skriva kod som är beroende av åtkomsttokeninnehåll på klienten är en av de största felkällorna och klientlogikbrytningarna. Mer information finns i Åtkomsttoken.
IdToken för användaren. Den här parametern är en kodad JWT. Mer information finns i ID-token.
ExpiresOn anger datum och tid när token upphör att gälla.
TenantId innehåller klientorganisationen där användaren hittades. För gästanvändare i Microsoft Entra B2B-scenarier är klientorganisations-ID:t gästklientorganisationen, inte den unika klientorganisationen. När token levereras för en användare innehåller AuthenticationResult även information om den här användaren. För konfidentiella klientflöden där token begärs utan användare för programmet är den här användarinformationen null.
För Scopes vilken token utfärdades.
Det unika ID:t för användaren.

IAccount

MSAL.NET definierar begreppet konto via IAccount gränssnittet. Den här icke-bakåtkompatibla ändringen ger rätt semantik. Samma användare kan ha flera konton i olika Microsoft Entra-kataloger. Dessutom ger MSAL.NET bättre information när det gäller gästscenarier eftersom hemkontoinformation tillhandahålls. Följande diagram visar gränssnittets IAccount struktur.

IAccount interface structure

Klassen AccountId identifierar ett konto i en specifik klientorganisation med de egenskaper som visas i följande tabell.

Property	beskrivning
`TenantId`	En strängrepresentation för ett GUID, vilket är ID:t för klientorganisationen där kontot finns.
`ObjectId`	En strängrepresentation för ett GUID, vilket är ID för den användare som äger kontot i klientorganisationen.
`Identifier`	Unik identifierare för kontot. `Identifier` är sammanlänkningen av `ObjectId` och `TenantId` avgränsad med ett kommatecken. De är inte base 64-kodade.

Gränssnittet IAccount representerar information om ett enda konto. Samma användare kan finnas i olika klientorganisationer, vilket innebär att en användare kan ha flera konton. Dess medlemmar visas i följande tabell.

Property	beskrivning
`Username`	En sträng som innehåller det visningsbara värdet i UPN-format (UserPrincipalName), till exempel john.doe@contoso.com. Den här strängen kan vara null, till skillnad från HomeAccountId och HomeAccountId.Identifier, som inte är null. Den här egenskapen ersätter `DisplayableId` egenskapen `IUser` för i tidigare versioner av MSAL.NET.
`Environment`	En sträng som innehåller identitetsprovidern för det här kontot, till exempel `login.microsoftonline.com`. Den här egenskapen ersätter `IdentityProvider` egenskapen `IUser`, förutom den som `IdentityProvider` också hade information om klientorganisationen, utöver molnmiljön. Här är värdet bara värden.
`HomeAccountId`	Konto-ID för hemkontot för användaren. Den här egenskapen identifierar användaren unikt i Microsoft Entra-klienter.

Använda token för att anropa ett skyddat API

När AuthenticationResult har returnerats av MSAL i lägger du till det i resultHTTP-auktoriseringshuvudet innan du anropar för att komma åt det skyddade webb-API:et.

httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);
...
}

HttpURLConnection conn = (HttpURLConnection) url.openConnection();

PublicClientApplication pca = PublicClientApplication.builder(clientId)
        .authority(authority)
        .build();

// Acquire a token, acquireTokenHelper would call publicClientApplication's acquireTokenSilently then acquireToken
// see https://github.com/Azure-Samples/ms-identity-java-desktop for a full example
IAuthenticationResult authenticationResult = acquireTokenHelper(pca);

// Set the appropriate header fields in the request header.
conn.setRequestProperty("Authorization", "Bearer " + authenticationResult.accessToken);
conn.setRequestProperty("Accept", "application/json");

String response = HttpClientHelper.getResponseStringFromConn(conn);

int responseCode = conn.getResponseCode();
if(responseCode != HttpURLConnection.HTTP_OK) {
    throw new IOException(response);
}

JSONObject responseObject = HttpClientHelper.processResponse(responseCode, response);

Anropa ett webb-API i MSAL för iOS och macOS

Metoderna för att hämta token returnerar ett MSALResult objekt. MSALResult exponerar en accessToken egenskap som kan användas för att anropa ett webb-API. Lägg till en åtkomsttoken i HTTP-auktoriseringshuvudet innan du anropar för att komma åt det skyddade webb-API:et.

Objective-C:

NSMutableURLRequest *urlRequest = [NSMutableURLRequest new];
urlRequest.URL = [NSURL URLWithString:"https://contoso.api.com"];
urlRequest.HTTPMethod = @"GET";
urlRequest.allHTTPHeaderFields = @{ @"Authorization" : [NSString stringWithFormat:@"Bearer %@", accessToken] };

NSURLSessionDataTask *task =
[[NSURLSession sharedSession] dataTaskWithRequest:urlRequest
     completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {}];
[task resume];

Swift:

let urlRequest = NSMutableURLRequest()
urlRequest.url = URL(string: "https://contoso.api.com")!
urlRequest.httpMethod = "GET"
urlRequest.allHTTPHeaderFields = [ "Authorization" : "Bearer \(accessToken)" ]

let task = URLSession.shared.dataTask(with: urlRequest as URLRequest) { (data: Data?, response: URLResponse?, error: Error?) in }
task.resume()

Anropa flera API:er för samma användare när du har fått en token för det första API:et AcquireTokenSilent. Du får en token för de andra API:erna tyst för det mesta.

var result = await app.AcquireTokenXX("scopeApi1")
                      .ExecuteAsync();

result = await app.AcquireTokenSilent("scopeApi2")
                  .ExecuteAsync();

Interaktion krävs när:

Användaren samtyckt till det första API:et men måste nu godkänna fler omfång. Den här typen av medgivande kallas inkrementellt medgivande.
Det första API:et krävde inte multifaktorautentisering, men nästa gör det.

var result = await app.AcquireTokenXX("scopeApi1")
                      .ExecuteAsync();

try
{
 result = await app.AcquireTokenSilent("scopeApi2")
                  .ExecuteAsync();
}
catch(MsalUiRequiredException ex)
{
 result = await app.AcquireTokenInteractive("scopeApi2")
                  .WithClaims(ex.Claims)
                  .ExecuteAsync();
}

Med hjälp av en HTTP-klient som Axios anropar du API-slutpunkts-URI:n med en åtkomsttoken som auktoriseringsbärare.

const axios = require('axios');

async function callEndpointWithToken(endpoint, accessToken) {
    const options = {
        headers: {
            Authorization: `Bearer ${accessToken}`
        }
    };

    console.log('Request made at: ' + new Date().toString());

    const response = await axios.default.get(endpoint, options);

    return response.data;
}

endpoint = "url to the API"
http_headers = {'Authorization': 'Bearer ' + result['access_token'],
                'Accept': 'application/json',
                'Content-Type': 'application/json'}
data = requests.get(endpoint, headers=http_headers, stream=False).json()

Nästa steg

Gå vidare till nästa artikel i det här scenariot, Flytta till produktion.

Dela via