使用 OAuth 2.0 授予对 REST API 的访问权限

  • 项目

Azure DevOps Services

了解如何对 Web 应用用户进行身份验证以进行 REST API 访问,以便应用不会继续请求用户名和密码。

注意

  • 以下指南适用于 Azure DevOps Services 用户,因为 Azure DevOps Server 不支持 OAuth 2.0。 客户端库是专为扩展Azure DevOps Server功能而生成的一系列包。 对于本地用户,我们建议使用 客户端库、Windows 身份验证或 个人访问令牌(PAT) 代表用户进行身份验证。
  • 有关详细信息,请参阅 C# OAuth GitHub 示例

关于 OAuth 2.0

Azure DevOps Services 使用 OAuth 2.0 协议 为用户授权应用并生成访问令牌。 从应用程序调用 REST API 时使用此令牌。 为该用户调用 Azure DevOps Services API 时,请使用该用户的访问令牌。 访问令牌过期,因此如果访问令牌已过期,请刷新它。

Process to get authorization.

可用的 OAuth 模型

创建 OAuth 2.0 应用时,请使用 Microsoft Entra ID OAuth。 我们仍然支持 Azure DevOps OAuth 2.0,但目前我们并不投资此模型。

Microsoft Entra ID OAuth

创建 Microsoft Entra ID OAuth 应用时,应用将颁发 Microsoft Entra 令牌,而不是 Azure DevOps 访问令牌。 这些令牌在过期前具有标准的一小时持续时间。

有关详细信息,请参阅以下文章:

注意

创建使用其他 API 的应用时,请确保选择 这些 API 所需的范围

Azure DevOps OAuth

对于现有应用,请使用 Azure DevOps OAuth 指南。 还可以 管理哪些 Azure DevOps 应用获得授权。

作用域

开发人员应指定用户所需的范围。 这两种 OAuth 模型都提供了范围。 以下范围仅可通过委派的(代表用户)流使用。 若要了解应用所需的范围,请在所使用的每个 API 的 API 参考页上的标头下 scopes 查看。

某些范围可能包括其他范围,例如, code_manage 包括 code_write。 考虑从用户请求范围许可时所需的最小范围数。

重要

范围仅允许访问 REST API 并选择 Git 终结点。 不支持 SOAP API 访问。

类别 作用域 名称 描述
代理池 vso.agentpools 代理池(读取) 授予查看代理的任务、池、队列、代理以及当前正在运行或最近完成的作业的功能。
vso.agentpools_manage 代理池(读取、管理) 授予管理池、队列和代理的能力。
vso.environment_manage 环境(读取、管理) 授予管理池、队列、代理和环境的能力。
分析 vso.analytics 分析(读取) 授予查询分析数据的能力。
审核 vso.auditlog 审核日志 (读取) 授予向用户读取审核日志的功能。
vso.auditstreams_manage 审核流 (读取) 向用户授予管理审核流的能力。
生成 vso.build 生成(读取) 授予访问生成项目(包括生成结果、定义和请求)的能力,以及通过服务挂钩接收有关生成事件的通知的能力。
vso.build_execute 生成(读取和执行) 授予访问生成项目(包括生成结果、定义和请求)以及排队生成、更新生成属性的功能,以及通过服务挂钩接收有关生成事件的通知的能力。
代码 vso.code 代码(读取) 授予读取有关提交、更改集、分支和其他版本控制项目的源代码和元数据的能力。 此外,还可以通过服务挂钩搜索代码并获取有关版本控制事件的通知。
vso.code_write 代码(读取和写入) 授予读取、更新和删除源代码、访问有关提交、更改集、分支和其他版本控制项目的元数据的能力。 此外,还授予创建和管理拉取请求和代码评审以及通过服务挂钩接收有关版本控制事件的通知的能力。
vso.code_manage 代码(读取、写入和管理) 授予读取、更新和删除源代码、访问有关提交、更改集、分支和其他版本控制项目的元数据的能力。 此外,还授予创建和管理代码存储库、创建和管理拉取请求和代码评审以及通过服务挂钩接收有关版本控制事件的通知的能力。
vso.code_full 代码(完整) 授予对源代码、有关提交、更改集、分支和其他版本控制项目的完全访问权限。 此外,还授予创建和管理代码存储库、创建和管理拉取请求和代码评审以及通过服务挂钩接收有关版本控制事件的通知的能力。 还包括对客户端 OM API 的有限支持。
vso.code_status 代码(状态) 授予读取和写入提交和拉取请求状态的能力。
连接服务器 vso.connected_server 已连接的服务器 授予从本地连接服务器访问所需的终结点的能力。
权利 vso.entitlements 权利(阅读) 提供对许可权利终结点的只读访问权限,以获取帐户权利。
vso.memberentitlementmanagement MemberEntitlement Management (读取) 授予读取用户、其许可证以及可以访问的项目和扩展的能力。
vso.memberentitlementmanagement_write MemberEntitlement Management (write) 授予管理用户、其许可证以及可以访问的项目和扩展的能力。
扩展 vso.extension 扩展(读取) 授予读取已安装扩展的功能。
vso.extension_manage 扩展(读取和管理) 授予对已安装扩展进行安装、卸载和执行其他管理操作的功能。
vso.extension.data 扩展数据(读取) 授予读取已安装扩展存储的数据(设置和文档)的能力。
vso.extension.data_write 扩展数据(读取和写入) 授予读取和写入已安装扩展存储的数据(设置和文档)的能力。
Graph 和标识 vso.graph 图形(读取) 授予读取用户、组、范围和组成员身份信息的能力。
vso.graph_manage Graph (管理) 授予读取用户、组、范围和组成员身份信息以及添加用户、组和管理组成员身份的功能。
vso.identity 标识(读取) 授予读取标识和组的能力。
vso.identity_manage 标识(管理) 授予读取、写入和管理标识和组的能力。
计算机组 vso.machinegroup_manage 部署组(读取、管理) 提供管理部署组和代理池的功能。
市场 vso.gallery 市场 授予对公共和私有项和发布者的读取访问权限。
vso.gallery_acquire 市场 (获取) 授予读取访问权限和获取项的能力。
vso.gallery_publish 市场(发布) 授予读取访问权限以及上传、更新和共享项的能力。
vso.gallery_manage 市场(管理) 授予读取访问权限以及发布和管理项和发布者的能力。
通知 vso.notification 通知(已读) 提供对订阅和事件元数据的读取访问权限,包括可筛选字段值。
vso.notification_write 通知(写入) 提供对订阅的读取和写入访问权限,以及对事件元数据的读取访问权限,包括可筛选字段值。
vso.notification_manage 通知(管理) 提供对订阅的读取、写入和管理访问权限,以及对事件元数据的读取访问权限,包括可筛选字段值。
vso.notification_diagnostics 通知(诊断) 提供对通知相关的诊断日志的访问权限,并提供为单个订阅启用诊断的功能。
打包 vso.packaging 打包(读取) 授予读取源和包的能力。
vso.packaging_write 打包(读取和写入) 授予创建和读取源和包的能力。
vso.packaging_manage 打包(读取、写入和管理) 授予创建、读取、更新和删除源和包的功能。
管道资源 vso.pipelineresources_use 管道资源(使用) 授予批准管道使用受保护资源的请求的功能:代理池、环境、队列、存储库、安全文件、服务连接和变量组。
vso.pipelineresources_manage 管道资源(使用和管理) 授予管理受保护资源或管道使用受保护资源的请求的能力:代理池、环境、队列、存储库、安全文件、服务连接和变量组。
项目和团队 vso.project 项目和团队(读取) 授予读取项目和团队的能力。
vso.project_write 项目和团队(读取和写入) 授予读取和更新项目和团队的能力。
vso.project_manage 项目和团队(读取、写入和管理) 授予创建、读取、更新和删除项目和团队的能力。
版本 vso.release 发布(阅读) 授予读取发布项目(包括发布、发布定义和发布环境)的能力。
vso.release_execute 发布(读取、写入和执行) 授予读取和更新发布项目的功能,包括发布、发布定义和发布环境,以及对新版本进行排队的能力。
vso.release_manage 发布(读取、写入、执行和管理) 授予读取、更新和删除发布项目(包括发布、发布定义和发布环境)以及排队和批准新版本的功能。
保护文件 vso.securefiles_read 安全文件 (读取) 授予读取安全文件的能力。
vso.securefiles_write 安全文件(读取、创建) 授予读取和创建安全文件的能力。
vso.securefiles_manage 安全文件(读取、创建和管理) 授予读取、创建和管理安全文件的能力。
安全性 vso.security_manage 安全性(管理) 授予读取、写入和管理安全权限的能力。
服务连接 vso.serviceendpoint 服务终结点(读取) 授予读取服务终结点的能力。
vso.serviceendpoint_query 服务终结点(读取和查询) 授予读取和查询服务终结点的能力。
vso.serviceendpoint_manage 服务终结点(读取、查询和管理) 授予读取、查询和管理服务终结点的能力。
设置 vso.settings 设置(阅读) 授予读取设置的能力。
vso.settings_write 设置(读取和写入) 授予创建和读取设置的能力。
符号 vso.symbols 符号(已读) 授予读取符号的能力。
vso.symbols_write 符号(读取和写入) 授予读取和写入符号的能力。
vso.symbols_manage 符号(读取、写入和管理) 授予读取、写入和管理符号的能力。
任务组 vso.taskgroups_read 任务组(已读) 授予读取任务组的能力。
vso.taskgroups_write 任务组(读取、创建) 授予读取和创建任务组的能力。
vso.taskgroups_manage 任务组(读取、创建和管理) 授予读取、创建和管理任务组的能力。
团队仪表板 vso.dashboards 团队仪表板(阅读) 授予读取团队仪表板信息的能力。
vso.dashboards_manage 团队仪表板(管理) 授予管理团队仪表板信息的能力。
测试管理 vso.test 测试管理(读取) 授予读取测试计划、用例、结果和其他测试管理相关项目的能力。
vso.test_write 测试管理(读取和写入) 授予读取、创建和更新测试计划、事例、结果和其他测试管理相关项目的能力。
线程 vso.threads_full PR 线程 授予读取和写入拉取请求批注线程的能力。
标记 vso.tokens 委派的授权令牌 授予向用户管理委派授权令牌的能力。
vso.tokenadministration 令牌管理员 向组织管理员授予管理现有令牌(查看和撤销)的能力。
用户配置文件 vso.profile 用户配置文件(读取) 授予读取配置文件、帐户、集合、项目、团队和其他顶级组织项目的能力。
vso.profile_write 用户配置文件(写入) 授予写入配置文件的功能。
变量组 vso.variablegroups_read 变量组(读取) 授予读取变量组的能力。
vso.variablegroups_write 变量组(读取、创建) 授予读取和创建变量组的能力。
vso.variablegroups_manage 变量组(读取、创建和管理) 授予读取、创建和管理变量组的能力。
Wiki vso.wiki Wiki (阅读) 授予读取 Wiki、Wiki 网页和 Wiki 附件的功能。 此外,还授予搜索 Wiki 页面的能力。
vso.wiki_write Wiki (读取和写入) 授予读取、创建和更新 Wiki、Wiki 网页和 Wiki 附件的功能。
工作项 vso.work 工作项(读取) 授予读取工作项、查询、版块、区域和迭代路径以及其他工作项跟踪相关元数据的能力。 此外,还授予执行查询、搜索工作项以及通过服务挂钩接收有关工作项事件的通知的能力。
vso.work_write 工作项(读取和写入) 授予读取、创建和更新工作项和查询、更新板元数据、读取区域和迭代路径、其他工作项跟踪相关元数据、执行查询以及通过服务挂钩接收有关工作项事件的通知的能力。
vso.work_full 工作项(完整) 授予对工作项、查询、积压工作、计划和工作项跟踪元数据的完全访问权限。 此外,还可以通过服务挂钩接收有关工作项事件的通知。
用户模拟 user_impersonation 用户模拟 对 Visual Studio Team Services REST API 具有完全访问权限。 请谨慎请求和/或同意此范围,因为它非常强大!