如何解决无法使用OAuth2对守护程序应用程序验证Microsoft 365电子邮件
我正在构建可读取邮箱并将其转换为票证的守护程序应用程序。此应用将使用OAuth2进行身份验证,通过IMAP / POP3协议连接到M365邮件服务器。我使用MailKit提取电子邮件。默认情况下,它支持OAuth2。它仅需要访问令牌才能替换密码。 我做了什么
使用this guide注册应用。详细信息
- 我选择生成客户端机密而不使用证书
- 身份验证仅针对此组织目录中的帐户(单个租户)
- 以公共客户端身份处理应用程序
- API权限
- Exchange:Mail.ReadWrite并获得管理员同意(应用程序许可)
- Microsoft Graph:User.Read(来自默认设置)
其余部分保持不变。
using Microsoft.Identity.Client;
using MailKit;
using MailKit.Search;
using MailKit.Security;
const string clientSecret = "xxx";
const string clientId = "yyy";
const string tenant = "zzz";
const string graphApi = "https://graph.microsoft.com/";
const string mailApi = "https://outlook.office.com/";
var apiClient = ConfidentialClientApplicationBuilder.Create(clientId)
.WithClientSecret(clientSecret)
.WithAuthority(new System.Uri($"https://login.microsoftonline.com/{tenant}"))
.Build();
string[] scopes = new[]
{
// $"{graphApi}.default",// based on docs: https://docs.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth
// $"{mailApi}IMAP.AccessAsUser.All",// $"{mailApi}POP.AccessAsUser.All",// based on URI generated when adding permission
// "https://outlook.office365.com/Mail.ReadWrite",// trying to guess
// $"{graphApi}.Mail.ReadWrite",// $"{graphApi}/Mail.ReadWrite",};
var result = await apiClient.AcquireTokenForClient(scopes).ExecuteAsync();
using (var mailClient = new MailKit.Net.Imap.ImapClient())
{
await mailClient.ConnectAsync("outlook.office365.com",993,true);
var auth = new SaslMechanismOAuth2($"user.domain@mytenant.onmicrosoft.com",result.AccessToken);
await mailClient.AuthenticateAsync(auth);
var mailBox = await mailClient.GetFolderAsync("INBOX");
await mailBox.OpenAsync(FolderAccess.ReadWrite);
var ids = await mailBox.SearchAsync(SearchQuery.All);
foreach (var id in ids)
{
var message = await mailBox.GetMessageAsync(id);
//message.Dump();
}
}
我尝试了不同类型的作用域,最终得到以下结果:
- 使用
$"{graphApi}.default"
时获得令牌,但邮件身份验证失败 - 其余作用域组合无效: AADSTS70011:提供的请求必须包含“作用域”输入参数。输入参数“ scope”提供的值无效。范围xxx无效。 跟踪ID:210121ba-e915-417a-9220-ade2defd7800 相关编号:e13c86c9-bb88-4326-9e38-39f3b7104a92 时间戳:2020-08-26 08:00:14Z
任何帮助将不胜感激。这是原始MS docs repo的问题副本。
解决方法
不能100%确定这是否适用于您的情况,但是可以:
我们遇到了同样的问题(因此在这里踩到了您的帖子),并首先通过使用不同的流程来请求令牌解决了该问题。除了client_id
和client_secret
,我们还为要访问的邮箱用户提供密码身份验证的所有详细信息:
POST https://login.microsoftonline.com/[your tenantid]/oauth2/v2.0/token
grant_type=password
username=[username for mailbox]
password=[password for that user]
client_id=[application client id]
client_secret=[application_client_secret]
scope=https://outlook.office365.com/IMAP.AccessAsUser.All openid offline_access
(跳过所有编码,添加换行符等)
然后,使用XOAUTH2为用户[邮箱的用户名]连接到IMAP outlook.office365.com,接收到的令牌可以无缝工作。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。