如何解决将OAuth 2.0与Exchange Web服务一起使用
我想澄清一下OAuth 2.0是否可以在EWS应用程序中使用或在何种程度上可以使用。这是我的情况:我维护一个访问Office 365数据的应用程序。它使用带有基本身份验证的EWS。为了响应不再支持基本身份验证并弃用EWS的计划,我开发了使用Microsoft Graph和OAuth 2.0的应用程序的新版本。我可以顺利使用OAuth。但是(出于我们的需要)Graph中仍然存在一些重大缺陷,因此我现在想做的是在原始EWS应用程序中支持OAuth。
我希望我可以采用与Graph应用程序中相同的方式生成的令牌,并将其输入到http调用的“ Authorization:bearer ...”标头中的EWS调用中。 (我没有使用EWS托管API或任何类型的身份验证库,只是使用libcurl进行直接http调用)。不幸的是,这导致http错误401未经授权。
这是我获取令牌的方式:
POST https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token
带有数据:
client_id={client_id}&scope=https%3A%2F%2Fgraph.microsoft.com%2F.default&client_secret={client_secret}&grant_type=client_credentials
这将产生http 200和返回的令牌:
eyJ0eXAiOiJKV1QiLCJub25jZSI6...
就像我说的那样,在EWS调用的Authorization标头中使用此令牌对http 401失败。但是,对Graph调用使用相同的令牌是可行的。我确实尝试用““ https://outlook.office365.com/.default”替换范围,但是产生了相同的结果。
我已经查看了在Azure门户中授予我的应用程序的API权限。它们都是Microsoft Graph类型的。我看不到任何可请求的“ EWS”权限。这可能是我的问题吗?
在此问题上的任何帮助将不胜感激,谢谢。
更新:我确实继续添加了所有“旧版交换” API权限,并重新授权了该应用程序的测试租户。仍然没有运气。我正在尝试执行“ GetFolder” EWS API。只有graph.microsoft.com范围可用于获取令牌,因此可能需要更改吗?
解决方法
对于EWS,如果您使用的是“客户端凭据”授予(这是您在示例中使用的权限),则唯一有效的权限是在旧版Exchange应用程序权限下的full_access_as_app。您需要使用的范围是https://outlook.office365.com/.default。您可以在https://jwt.io/中检查生成的令牌。例如,受众群体应针对outlook.office365.com,范围应具有full_access_as_app。
您需要在EWS代码中做的最后一件事是将EWS模拟标题设置为您要模拟(或访问)的邮箱,例如
<soap:Header>
<t:ExchangeImpersonation>
<t:ConnectingSID>
<t:PrimarySmtpAddress>alisa@contoso.com</t: PrimarySmtpAddress>
</t:ConnectingSID>
</t:ExchangeImpersonation>
</soap:Header>
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。