呼叫 Web API 的 Web 應用程式：程式碼設定

文章
08/01/2024

在上一篇文章中，您已在 Entra Microsoft註冊應用程式。本文將說明如何設定應用程式程序代碼，並修改 Web 應用程式，使其不僅會登入使用者，而且現在也會呼叫 Web API。您建立的應用程式會使用 OAuth 2.0 授權碼流程來登入使用者。此流程包含兩個步驟：

要求授權碼。此部分會將與使用者的私人對話委派給 Microsoft 身分識別平台。在該對話期間，使用者會進行登入，並同意使用 Web API。當私人對話成功完成時，Web 應用程式即會在其重新導向 URI 上收到授權碼。
透過兌換授權碼來要求 API 的存取權杖。

必要條件

呼叫 Web API 的 Web 應用程式：應用程式註冊

支援 Web 應用程式的 Microsoft 程式庫

下列 Microsoft 程式庫支援 Web 應用程式：

語言 / 架構	專案平台 GitHub	套件	開始啟動	登入使用者	存取 Web API	正式發行 (GA) 或公開預覽¹
.NET	MSAL.NET	Microsoft.Identity.Client	—			GA
.NET	Microsoft.IdentityModel	Microsoft.IdentityModel	—	²	²	GA
ASP.NET Core	ASP.NET Core	Microsoft.AspNetCore.Authentication	快速入門			GA
ASP.NET Core	Microsoft.Identity.Web	Microsoft.Identity.Web	快速入門			GA
Java	MSAL4J	msal4j	快速入門			GA
Spring	spring-cloud-azure-starter-active-directory	spring-cloud-azure-starter-active-directory	教學課程			GA
Node.js	MSAL 節點	msal-node	快速入門			GA
Python	MSAL Python	msal				GA
Python	identity	identity	快速入門			--

⁽¹⁾線上服務的通用授權條款適用於公開預覽中的程式庫。

⁽²⁾ Microsoft.IdentityModel 程式庫只會驗證權杖，無法要求識別碼或存取權杖。

選取感興趣的平台索引標籤：

用戶端密碼或用戶端憑證

如果您的 Web 應用程式現在呼叫下游 Web API，請提供 appsettings.json 檔案中的用戶端密碼或用戶端憑證。您也可以新增一個區段，以指定：

下游 Web API 的 URL
呼叫 API 所需的範圍

在下列範例中，GraphBeta 區段會指定這些設定。

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "[Enter_the_Application_Id_Here]",
    "TenantId": "common",

   // To call an API
   "ClientCredentials": [
    {
      "SourceType": "ClientSecret",
      "ClientSecret":"[Enter_the_Client_Secret_Here]"
    }
  ]
 },
 "GraphBeta": {
    "BaseUrl": "https://graph.microsoft.com/beta",
    "Scopes": ["user.read"]
    }
}

注意

您可以提出一組用戶端認證，包括無認證解決方案，例如 Azure Kubernetes 的工作負載身分識別同盟。舊版的 Microsoft.Identity.Web 在單一屬性 "ClientSecret" 中表示用戶端密碼，而不是 "ClientCredentials"。這仍支援回溯相容性，但您無法同時使用 "ClientSecret" 屬性和 "ClientCredentials" 集合。

您可以提供用戶端憑證，而不是用戶端密碼。下列程式碼片段顯示如何使用儲存在 Azure Key Vault 中的憑證。

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "[Enter_the_Application_Id_Here]",
    "TenantId": "common",

   // To call an API
   "ClientCredentials": [
      {
        "SourceType": "KeyVault",
        "KeyVaultUrl": "https://msidentitywebsamples.vault.azure.net",
        "KeyVaultCertificateName": "MicrosoftIdentitySamplesCert"
      }
   ]
  },
  "GraphBeta": {
    "BaseUrl": "https://graph.microsoft.com/beta",
    "Scopes": ["user.read"]
  }
}

警告

如果您忘記將 Scopes 變更為陣列，則在嘗試使用 IDownstreamApi 範圍時，會顯示 null，而 IDownstreamApi 會嘗試對下游 API 進行匿名 (未驗證) 呼叫，這會導致 401/unauthenticated。

Microsoft.Identity.Web 提供數種方式來描述憑證 (透過設定或程式碼)。如需詳細資訊，請參閱 GitHub 上的 Microsoft.Identity.Web - 使用憑證。

修改Startup.cs檔案

您的 Web 應用程式將需要取得下游 API 的權杖。您可以在 .AddMicrosoftIdentityWebApp(Configuration) 後面加上 .EnableTokenAcquisitionToCallDownstreamApi() 行來進行指定。這行程式碼會顯示您可以在控制器和頁面動作中使用的 IAuthorizationHeaderProvider 服務。不過，下列兩個選項可讓您更輕鬆地完成。您也需要在 Startup.cs 中選擇權杖快取實作，例如 .AddInMemoryTokenCaches()：

using Microsoft.Identity.Web;

public class Startup
{
  // ...
  public void ConfigureServices(IServiceCollection services)
  {
  // ...
  services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
          .AddMicrosoftIdentityWebApp(Configuration, "AzureAd")
            .EnableTokenAcquisitionToCallDownstreamApi(new string[]{"user.read" })
            .AddInMemoryTokenCaches();
   // ...
  }
  // ...
}

傳遞給 EnableTokenAcquisitionToCallDownstreamApi 的範圍是選擇性的，並使您的 Web 應用程式能夠在使用者登入時要求範圍並徵得使用者對這些範圍的同意。如果您未指定範圍，則 Microsoft.Identity.Web 會啟用累加式同意體驗。

Microsoft.Identity.Web 提供兩種機制，讓您不需要取得權杖，即可從 Web 應用程式呼叫 Web API。您選擇的選項取決於您是否要呼叫 Microsoft Graph 或其他 API。

選項 1：呼叫 Microsoft Graph

如果您想要呼叫 Microsoft Graph，Microsoft.Identity.Web 會讓您在 API 動作中直接使用 GraphServiceClient (由 Microsoft Graph SDK 公開)。若要公開 Microsoft Graph：

將 Microsoft.Identity.Web.GraphServiceClient NuGet 套件新增至專案。

在 Startup.cs 檔案的 .AddMicrosoftGraph() 後面加入 .EnableTokenAcquisitionToCallDownstreamApi()。 .AddMicrosoftGraph() 有數個覆寫。使用以設定區段作為參數的覆寫，程式碼就會變成：

using Microsoft.Identity.Web;

public class Startup
{
  // ...
  public void ConfigureServices(IServiceCollection services)
  {
  // ...
  services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
          .AddMicrosoftIdentityWebApp(Configuration, "AzureAd")
            .EnableTokenAcquisitionToCallDownstreamApi(new string[]{"user.read" })
               .AddMicrosoftGraph(Configuration.GetSection("GraphBeta"))
            .AddInMemoryTokenCaches();
   // ...
  }
  // ...
}

選項 2：呼叫 Microsoft Graph 以外的下游 Web API

若要呼叫 Microsoft Graph 以外的 API，Microsoft.Identity.Web 可讓您在 API 動作中使用 IDownstreamApi 介面。若要使用此介面：

將 Microsoft.Identity.Web.DownstreamApi NuGet 套件新增至您的專案。

在 Startup.cs 檔案的 .AddDownstreamApi() 後面加入 .EnableTokenAcquisitionToCallDownstreamApi()。 .AddDownstreamApi() 有兩個引數，且顯示在下列程式碼片段中：

服務的名稱 (API)，用於控制器動作以參考對應的組態
此組態區段表示用來呼叫下游 Web API 的參數。

using Microsoft.Identity.Web;

public class Startup
{
  // ...
  public void ConfigureServices(IServiceCollection services)
  {
  // ...
  services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
          .AddMicrosoftIdentityWebApp(Configuration, "AzureAd")
            .EnableTokenAcquisitionToCallDownstreamApi(new string[]{"user.read" })
               .AddDownstreamApi("MyApi", Configuration.GetSection("GraphBeta"))
            .AddInMemoryTokenCaches();
   // ...
  }
  // ...
}

摘要

如同 Web Api，您可以選擇各種權杖快取實作。如需詳細資訊，請參閱 GitHub 上的 Microsoft.Identity.Web - 權杖快取序列化。

下圖顯示 Microsoft.Identity.Web 的各種可能性，以及其對Startup.cs 檔案的影響：

此方塊圖顯示 startup dot CS 中的服務設定選項，可供呼叫 Web API 及指定權杖快取實作

注意

若要完全了解此處的程式碼範例，請熟悉 ASP.NET Core 基本概念，特別是相依性插入和選項。

用戶端密碼或用戶端憑證

如果您的 Web 應用程式現在呼叫下游 Web API，請提供 appsettings.json 檔案中的用戶端密碼或用戶端憑證。您也可以新增一個區段，以指定：

下游 Web API 的 URL
呼叫 API 所需的範圍

在下列範例中，GraphBeta 區段會指定這些設定。

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "[Enter_the_Application_Id_Here]",
    "TenantId": "common",

   // To call an API
   "ClientCredentials": [
    {
      "SourceType": "ClientSecret",
      "ClientSecret":"[Enter_the_Client_Secret_Here]"
    }
  ]
 },
 "GraphBeta": {
    "BaseUrl": "https://graph.microsoft.com/beta",
    "Scopes": ["user.read"]
    }
}

注意

您可以提供用戶端憑證，而不是用戶端密碼。下列程式碼片段顯示如何使用儲存在 Azure Key Vault 中的憑證。

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "[Enter_the_Application_Id_Here]",
    "TenantId": "common",

   // To call an API
   "ClientCredentials": [
      {
        "SourceType": "KeyVault",
        "KeyVaultUrl": "https://msidentitywebsamples.vault.azure.net",
        "KeyVaultCertificateName": "MicrosoftIdentitySamplesCert"
      }
   ]
  },
  "GraphBeta": {
    "BaseUrl": "https://graph.microsoft.com/beta",
    "Scopes": ["user.read"]
  }
}

警告

Microsoft.Identity.Web 提供數種方式來描述憑證 (透過設定或程式碼)。如需詳細資訊，請參閱 GitHub 上的 Microsoft.Identity.Web - 使用憑證。

Startup.Auth.cs

您的 Web 應用程式需要取得權杖來呼叫下游 API，Microsoft.Identity.Web 提供兩種機制，以便從 Web 應用程式呼叫 Web API。您選擇的選項取決於您是否要呼叫 Microsoft Graph 或其他 API。

選項 1：呼叫 Microsoft Graph

如果您想要呼叫 Microsoft Graph，Microsoft.Identity.Web 會讓您在 API 動作中直接使用 GraphServiceClient (由 Microsoft Graph SDK 公開)。若要公開 Microsoft Graph：

將 Microsoft.Identity.Web.GraphServiceClient NuGet 套件新增至專案。
將 .AddMicrosoftGraph() 新增至 Startup.Auth.cs 檔案中的服務集合。 .AddMicrosoftGraph() 有數個覆寫。使用以設定區段作為參數的覆寫，程式碼就會變成：

using Microsoft.Extensions.DependencyInjection;
using Microsoft.Identity.Client;
using Microsoft.Identity.Web;
using Microsoft.Identity.Web.OWIN;
using Microsoft.Identity.Web.TokenCacheProviders.InMemory;
using Microsoft.IdentityModel.Validators;
using Microsoft.Owin.Security;
using Microsoft.Owin.Security.Cookies;
using Owin;

namespace WebApp
{
    public partial class Startup
    {
        public void ConfigureAuth(IAppBuilder app)
        {
            app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);

            app.UseCookieAuthentication(new CookieAuthenticationOptions());

            // Get an TokenAcquirerFactory specialized for OWIN
            OwinTokenAcquirerFactory owinTokenAcquirerFactory = TokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>();

            // Configure the web app.
            app.AddMicrosoftIdentityWebApp(owinTokenAcquirerFactory,
                                          updateOptions: options => {});

            // Add the services you need.
            owinTokenAcquirerFactory.Services
                .Configure<ConfidentialClientApplicationOptions>(options => 
                      { options.RedirectUri = "https://localhost:44326/"; })
                .AddMicrosoftGraph()
                .AddInMemoryTokenCaches();
            owinTokenAcquirerFactory.Build();
        }
    }
}

選項 2：呼叫 Microsoft Graph 以外的下游 Web API

若要呼叫 Microsoft Graph 以外的 API，Microsoft.Identity.Web 可讓您在 API 動作中使用 IDownstreamApi 介面。若要使用此介面：

將 Microsoft.Identity.Web.DownstreamApi NuGet 套件新增至您的專案。
在 Startup.cs 檔案的 .AddDownstreamApi() 後面加入 .EnableTokenAcquisitionToCallDownstreamApi()。 .AddDownstreamApi() 有兩個引數。
- 服務的名稱（API）：您可以在控制器動作中使用這個名稱來參考對應的組態
- 此組態區段表示用來呼叫下游 Web API 的參數。

程式碼如下：

  using Microsoft.Extensions.DependencyInjection;
  using Microsoft.Identity.Client;
  using Microsoft.Identity.Web;
  using Microsoft.Identity.Web.OWIN;
  using Microsoft.Identity.Web.TokenCacheProviders.InMemory;
  using Microsoft.IdentityModel.Validators;
  using Microsoft.Owin.Security;
  using Microsoft.Owin.Security.Cookies;
  using Owin;

  namespace WebApp
  {
      public partial class Startup
      {
          public void ConfigureAuth(IAppBuilder app)
          {
              app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);

              app.UseCookieAuthentication(new CookieAuthenticationOptions());

              // Get a TokenAcquirerFactory specialized for OWIN.
              OwinTokenAcquirerFactory owinTokenAcquirerFactory = TokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>();

              // Configure the web app.
              app.AddMicrosoftIdentityWebApp(owinTokenAcquirerFactory,
                                            updateOptions: options => {});

              // Add the services you need.
              owinTokenAcquirerFactory.Services
                  .Configure<ConfidentialClientApplicationOptions>(options => 
                        { options.RedirectUri = "https://localhost:44326/"; })
                  .AddDownstreamApi("Graph", owinTokenAcquirerFactory.Configuration.GetSection("GraphBeta"))
                  .AddInMemoryTokenCaches();
              owinTokenAcquirerFactory.Build();
          }
      }
  }

摘要

您可以選擇各種權杖快取實作。如需詳細資訊，請參閱 GitHub 上的 Microsoft.Identity.Web - 權杖快取序列化。

下圖顯示 Microsoft.Identity.Web 的各種可能性，以及其對Startup.cs 檔案的影響：

此方塊圖顯示 startup dot CS 中的服務設定選項，可供呼叫 Web API 及指定權杖快取實作

注意

若要完全了解此處的程式碼範例，請熟悉 ASP.NET Core 基本概念，特別是相依性插入和選項。

本文中程式碼範例和以下項目是從 ASP.NET Web app sample (ASP.NET Web 應用程式範例) 擷取的。建議參考該範例以取得完整的實作詳細資料。

實作Node.js程式代碼範例

本文中程式碼範例和下列項目是從 Node.js & Express.js web application that calls Microsoft Graph (呼叫 Microsoft Graph 的 Node.js & Express.js Web 應用程式) 擷取的，這是使用 MSAL Node 的 Web 應用程式範例。

此範例目前會讓 MSAL Node 產生授權碼 URL，並處理導覽至 Microsoft 身分識別平台的授權端點。如下所示：

/**
 * Prepares the auth code request parameters and initiates the first leg of auth code flow
 * @param req: Express request object
 * @param res: Express response object
 * @param next: Express next function
 * @param authCodeUrlRequestParams: parameters for requesting an auth code url
 * @param authCodeRequestParams: parameters for requesting tokens using auth code
 */
redirectToAuthCodeUrl(authCodeUrlRequestParams, authCodeRequestParams, msalInstance) {
    return async (req, res, next) => {
        // Generate PKCE Codes before starting the authorization flow
        const { verifier, challenge } = await this.cryptoProvider.generatePkceCodes();

        // Set generated PKCE codes and method as session vars
        req.session.pkceCodes = {
            challengeMethod: 'S256',
            verifier: verifier,
            challenge: challenge,
        };

        /**
         * By manipulating the request objects below before each request, we can obtain
         * auth artifacts with desired claims. For more information, visit:
         * https://azuread.github.io/microsoft-authentication-library-for-js/ref/modules/_azure_msal_node.html#authorizationurlrequest
         * https://azuread.github.io/microsoft-authentication-library-for-js/ref/modules/_azure_msal_node.html#authorizationcoderequest
         **/
        req.session.authCodeUrlRequest = {
            ...authCodeUrlRequestParams,
            responseMode: msal.ResponseMode.FORM_POST, // recommended for confidential clients
            codeChallenge: req.session.pkceCodes.challenge,
            codeChallengeMethod: req.session.pkceCodes.challengeMethod,
        };

        req.session.authCodeRequest = {
            ...authCodeRequestParams,
            code: '',
        };

        try {
            const authCodeUrlResponse = await msalInstance.getAuthCodeUrl(req.session.authCodeUrlRequest);
            res.redirect(authCodeUrlResponse);
        } catch (error) {
            next(error);
        }
    };
}

兌換授權碼的程式碼

Microsoft.Identity.Web 會透過設定正確的 Open ID Connect 設定、訂閱授權碼接收事件，以及兌換授權碼來簡化程式碼。兌換授權碼無需額外的程式碼。如需其運作方式的詳細資訊，請參閱 Microsoft.Identity.Web 原始程式碼。

AuthProvider 類別中的 handleRedirect 方法會處理從 Microsoft Entra ID 收到的授權碼。如下所示：

handleRedirect(options = {}) {
    return async (req, res, next) => {
        if (!req.body || !req.body.state) {
            return next(new Error('Error: response not found'));
        }

        const authCodeRequest = {
            ...req.session.authCodeRequest,
            code: req.body.code,
            codeVerifier: req.session.pkceCodes.verifier,
        };

        try {
            const msalInstance = this.getMsalInstance(this.msalConfig);

            if (req.session.tokenCache) {
                msalInstance.getTokenCache().deserialize(req.session.tokenCache);
            }

            const tokenResponse = await msalInstance.acquireTokenByCode(authCodeRequest, req.body);

            req.session.tokenCache = msalInstance.getTokenCache().serialize();
            req.session.idToken = tokenResponse.idToken;
            req.session.account = tokenResponse.account;
            req.session.isAuthenticated = true;

            const state = JSON.parse(this.cryptoProvider.base64Decode(req.body.state));
            res.redirect(state.successRedirect);
        } catch (error) {
            next(error);
        }
    }
}

請參閱登入使用者的 Web 應用程式：程式碼設定，以了解 JAVA 範例如何取得授權碼。在應用程式收到授權碼後，AuthFilter.java#L51-L56：

會委派給 AuthHelper.java#L67-L97 中的 AuthHelper.processAuthenticationCodeRedirect 方法。
呼叫 getAuthResultByAuthCode。

class AuthHelper {
  // Code omitted
  void processAuthenticationCodeRedirect(HttpServletRequest httpRequest, String currentUri, String fullUrl)
            throws Throwable {

  // Code omitted
  AuthenticationResponse authResponse = AuthenticationResponseParser.parse(new URI(fullUrl), params);

  // Code omitted
  IAuthenticationResult result = getAuthResultByAuthCode(
                    httpRequest,
                    oidcResponse.getAuthorizationCode(),
                    currentUri);

// Code omitted
  }
}

getAuthResultByAuthCode 方法是定義在 AuthHelper.java#L176 中。其會建立 MSAL ConfidentialClientApplication，然後使用從授權碼建立的 AuthorizationCodeParameters 來呼叫 acquireToken()。

   private IAuthenticationResult getAuthResultByAuthCode(
            HttpServletRequest httpServletRequest,
            AuthorizationCode authorizationCode,
            String currentUri) throws Throwable {

        IAuthenticationResult result;
        ConfidentialClientApplication app;
        try {
            app = createClientApplication();

            String authCode = authorizationCode.getValue();
            AuthorizationCodeParameters parameters = AuthorizationCodeParameters.builder(
                    authCode,
                    new URI(currentUri)).
                    build();

            Future<IAuthenticationResult> future = app.acquireToken(parameters);

            result = future.get();
        } catch (ExecutionException e) {
            throw e.getCause();
        }

        if (result == null) {
            throw new ServiceUnavailableException("authentication result was null");
        }

        SessionManagementHelper.storeTokenCacheInSession(httpServletRequest, app.tokenCache().serialize());

        return result;
    }

    private ConfidentialClientApplication createClientApplication() throws MalformedURLException {
        return ConfidentialClientApplication.builder(clientId, ClientCredentialFactory.create(clientSecret)).
                authority(authority).
                build();
    }

請參閱登入使用者的 Web 應用程式：程式碼設定，以了解 Python 範例如何取得授權碼。

Microsoft 登入畫面會將授權碼傳送至應用程式註冊中指定的 /getAToken URL。 auth_response 路由會處理該 URL、呼叫 auth.complete_login 以處理授權碼，然後傳回錯誤或重新導向至首頁。

@app.route(app_config.REDIRECT_PATH)
def auth_response():
    result = auth.complete_log_in(request.args)
    if "error" in result:
        return render_template("auth_error.html", result=result)
    return redirect(url_for("index"))

如需該程式代碼的完整內容，請參閱 app.py 。

保密用戶端應用程式也可透過使用用戶端憑證，或用戶端判斷提示來證明其身分識別，而非使用用戶端密碼。使用用戶端判斷提示是進階案例，用戶端判斷提示中提供詳細的說明。

權杖快取

重要

Web 應用程式或 Web API 的權杖快取實作與傳統型應用程式實作不同，因為後者經常是以檔案為基礎。基於安全性和效能考量，針對 Web 應用程式和 Web API 確認每個使用者帳戶都有一個權杖快取相當重要。您必須為每個帳戶序列化權杖快取。

ASP.NET Core 教學課程會使用相依性插入以供在應用程式的 Startup.cs 中決定權杖快取實作。 Microsoft.Identity.Web 隨附權杖快取序列化中所述的預建權杖快取序列化程式。選擇 ASP.NET Core 另外一項有趣的可能性是分散式記憶體快取：

// Use a distributed token cache by adding:
    services.AddMicrosoftIdentityWebAppAuthentication(Configuration, "AzureAd")
            .EnableTokenAcquisitionToCallDownstreamApi(
                initialScopes: new string[] { "user.read" })
            .AddDistributedTokenCaches();

// Then, choose your implementation.
// For instance, the distributed in-memory cache (not cleared when you stop the app):
services.AddDistributedMemoryCache();

// Or a Redis cache:
services.AddStackExchangeRedisCache(options =>
{
 options.Configuration = "localhost";
 options.InstanceName = "SampleInstance";
});

// Or even a SQL Server token cache:
services.AddDistributedSqlServerCache(options =>
{
 options.ConnectionString = _config["DistCache_ConnectionString"];
 options.SchemaName = "dbo";
 options.TableName = "TestCache";
});

如需有關權杖快取提供者的詳細資訊，請參閱 Microsoft.Identity.Web 的權杖快取序列化一文，以及 Web 應用程式教學課程的 ASP.NET Core Web 應用程式教學課程 | 權杖快取階段。

ASP.NET 教學課程會使用相依性插入來讓您決定要在應用程式的 Startup.Auth.cs 檔案中使用的權杖快取實作。 Microsoft.Identity.Web 隨附權杖快取序列化中所述的預建權杖快取序列化程式。選擇 ASP.NET Core 另外一項有趣的可能性是分散式記憶體快取：

var services = owinTokenAcquirerFactory.Services;
// Use a distributed token cache by adding:
services.AddDistributedTokenCaches();

// Then, choose your implementation.
// For instance, the distributed in-memory cache (not cleared when you stop the app):
services.AddDistributedMemoryCache();

// Or a Redis cache:
services.AddStackExchangeRedisCache(options =>
{
 options.Configuration = "localhost";
 options.InstanceName = "SampleInstance";
});

// Or even a SQL Server token cache:
services.AddDistributedSqlServerCache(options =>
{
 options.ConnectionString = _config["DistCache_ConnectionString"];
 options.SchemaName = "dbo";
 options.TableName = "TestCache";
});

如需令牌快取提供者的詳細資訊，請參閱 Microsoft.Identity.Web 令牌快取串行化一文和 ASP.NET Core Web 應用程式教學課程 |Web 應用程式教學課程的令牌快取階段。

如需詳細資訊，請參閱 MSAL.NET 中的權杖快取序列化。

MSAL Java 提供序列化和還原序列化權杖快取的方法。 Java 範例會處理來自工作階段的序列化，如 AuthHelper.java#L99-L122中的 getAuthResultBySilentFlow 方法內所示：

IAuthenticationResult getAuthResultBySilentFlow(HttpServletRequest httpRequest, HttpServletResponse httpResponse)
      throws Throwable {

  IAuthenticationResult result =  SessionManagementHelper.getAuthSessionObject(httpRequest);

  IConfidentialClientApplication app = createClientApplication();

  Object tokenCache = httpRequest.getSession().getAttribute("token_cache");
  if (tokenCache != null) {
      app.tokenCache().deserialize(tokenCache.toString());
  }

  SilentParameters parameters = SilentParameters.builder(
          Collections.singleton("User.Read"),
          result.account()).build();

  CompletableFuture<IAuthenticationResult> future = app.acquireTokenSilently(parameters);
  IAuthenticationResult updatedResult = future.get();

  // Update session with latest token cache.
  SessionManagementHelper.storeTokenCacheInSession(httpRequest, app.tokenCache().serialize());

  return updatedResult;
}

適用於 Java 的 MSAL 範例中提供了 SessionManagementHelper 類別的詳細資料。

在 Node.js 範例中，會使用應用程式工作階段來儲存權杖快取。使用 MSAL Node 快取方法時，工作階段中的權杖快取會在提出權杖要求之前讀取，然後在權杖要求順利完成後更新。如下所示：

acquireToken(options = {}) {
    return async (req, res, next) => {
        try {
            const msalInstance = this.getMsalInstance(this.msalConfig);

            /**
             * If a token cache exists in the session, deserialize it and set it as the 
             * cache for the new MSAL CCA instance. For more, see: 
             * https://github.com/AzureAD/microsoft-authentication-library-for-js/blob/dev/lib/msal-node/docs/caching.md
             */
            if (req.session.tokenCache) {
                msalInstance.getTokenCache().deserialize(req.session.tokenCache);
            }

            const tokenResponse = await msalInstance.acquireTokenSilent({
                account: req.session.account,
                scopes: options.scopes || [],
            });

            /**
             * On successful token acquisition, write the updated token 
             * cache back to the session. For more, see: 
             * https://github.com/AzureAD/microsoft-authentication-library-for-js/blob/dev/lib/msal-node/docs/caching.md
             */
            req.session.tokenCache = msalInstance.getTokenCache().serialize();
            req.session.accessToken = tokenResponse.accessToken;
            req.session.idToken = tokenResponse.idToken;
            req.session.account = tokenResponse.account;

            res.redirect(options.successRedirect);
        } catch (error) {
            if (error instanceof msal.InteractionRequiredAuthError) {
                return this.login({
                    scopes: options.scopes || [],
                    redirectUri: options.redirectUri,
                    successRedirect: options.successRedirect || '/',
                })(req, res, next);
            }

            next(error);
        }
    };
}

在 Python 範例中，身分識別套件會負責權杖快取，其使用全域 session 物件進行儲存。

Flask 會為儲存在 Cookie 中的工作階段內建支援，但由於身分識別 Cookie 的長度，此範例會改用 Flask-session套件。所有內容均在 app.py 中初始化：

import identity
import identity.web
import requests
from flask import Flask, redirect, render_template, request, session, url_for
from flask_session import Session

import app_config

app = Flask(__name__)
app.config.from_object(app_config)
Session(app)

auth = identity.web.Auth(
    session=session,
    authority=app.config["AUTHORITY"],
    client_id=app.config["CLIENT_ID"],
    client_credential=app.config["CLIENT_SECRET"],
)

由於 app_config.py 中的 SESSION_TYPE="filesystem" 設定，Flask-session 套件使用本機檔案系統來儲存工作階段。

對於實際執行環境，您應該使用可在多個執行個體之間保存並部署應用程式的設定，例如 "sqlachemy" 或 "redis"。

後續步驟

此時，當使用者登入時，權杖即會儲存在權杖快取中。讓我們來看看其接著在 Web 應用程式其他部分中使用的方式。

從全域註銷時從快取中移除帳戶。

分享方式：

呼叫 Web API 的 Web 應用程式：程式碼設定

必要條件

支援 Web 應用程式的 Microsoft 程式庫

用戶端密碼或用戶端憑證

修改Startup.cs檔案

選項 1：呼叫 Microsoft Graph

選項 2：呼叫 Microsoft Graph 以外的下游 Web API

摘要

用戶端密碼或用戶端憑證

Startup.Auth.cs

選項 1：呼叫 Microsoft Graph

選項 2：呼叫 Microsoft Graph 以外的下游 Web API

摘要

實作 Java 程式代碼範例

實作Node.js程式代碼範例

實作 Python 程式代碼範例

兌換授權碼的程式碼

權杖快取

後續步驟

意見反映

更多資源