Office 365 Rest API – 守护程序周身份validation

我正在尝试构建一个Ruby Daemon服务来访问Office 365 rest API。 最近通过OAuth’client_credentials’流程实现了这一点,详见本博客文章: http : //blogs.msdn.com/b/exchangedev/archive/2015/01/22/building-demon-or -服务-应用程序-与办公-365-邮件日历和联系人的API-的oauth2客户端-凭据flow.aspx

我正在努力生成有效的访问令牌。 令牌端点返回给我一个JWT,但是当使用这个令牌时,我收到了一条带有此消息的401:

使用身份validation方法获取访问令牌,该身份validation方法太弱而无法访问此应用程序。 提出的auth强度为1,要求为2

我知道client_credentials流程要求您提供X.509证书,不幸的是,博客文章中的所有示例都是针对C#的。

我在请求令牌时使用生成的自签名证书和私钥来执行客户端断言。 我按照博客文章中的步骤生成证书并更新清单以使用此证书。

这是ruby代码供参考: 

def request_token uri = URI.parse("https://login.windows.net/== TENANT-ID ==/oauth2/token?api-version=1.0") https = Net::HTTP.new(uri.host, uri.port) req = Net::HTTP::Post.new(uri.request_uri) req.set_form_data( :grant_type => 'client_credentials', :redirect_uri => 'http://spready.dev', :resource => 'https://outlook.office365.com/', :client_id => '== Client ID ==', :client_secret => '== Client secret ==' ) https.use_ssl = true https.cert = client_cert https.key = client_key https.verify_mode = OpenSSL::SSL::VERIFY_PEER resp = https.start { |cx| cx.request(req) } @access_token = JSON.parse(resp.body) end

显然,为了安全起见,我删除了一些信息。 即使它是ruby,您也可以看到我使用我的证书来validation使用SSL连接的客户端。

以下是有关错误的更多信息: 

 "x-ms-diagnostics" => "2000010; reason=\"The access token is acquired using an authentication method that is too weak to allow access for this application. Presented auth strength was 1, required is 2.\"; error_category=\"insufficient_auth_strength\"", "x-diaginfo"=>"AM3PR01MB0662", "x-beserver"=>"AM3PR01MB0662"

任何帮助将是欣赏。

编辑

对于其他想在Ruby中做类似事情的人来说,这是我使用的代码的要点: https : //gist.github.com/NGMarmaduke/a088943edbe4e703129d

该示例使用Rails环境,但删除Rails特定位应该相当容易。

请记住使用正确的值替换您的CLIENT ID,TENANT_ID和CERT_THUMBPRINT,并将证书路径和客户端密钥方法指向正确的文件路径。

然后你可以做这样的事情: 

 mailbox = OfficeAPI.new("nick@test.com") messages = mailbox.request_messages

您需要client_assertion ,而不是请求正文中的client_secret 。 这有点复杂,但这是您需要该证书的原因。

基本上,您需要构建一个JSON Web令牌,并使用SHA256哈希对您的证书进行签名。 令牌看起来像这样:

标题: 

 { "alg": "RS256", "x5t": "..." // THUMBPRINT of Cert }

有效载荷: 

 { "aud": "https:\\/\\/login.windows.net\\/\\/oauth2\\/token", "exp": 1423168488, "iss": "YOUR CLIENT ID", "jti": "SOME GUID YOU ASSIGN", "nbf": 1423167888, "sub": "YOUR CLIENT ID" }

如果你还在我身边,你现在需要对两个部分进行base64编码(单独编写),然后用’。’连接它们。 所以现在你应该: 

 base64_header.base64_payload

现在,您使用SHA256哈希值获取该字符串并使用您的证书对其进行签名。 然后base64编码结果,对其进行url-encode,然后追加到字符串,所以现在你有: 

 base64_header.base64_payload.base64_signature

最后,在POST中将此作为client_assertion参数包含在令牌端点的POST中,并将client_assertion_type参数设置为“urn:ietf:params:oauth:client-assertion-type:jwt-bearer”: 

 req.set_form_data( :grant_type => 'client_credentials', :redirect_uri => 'http://spready.dev', :resource => 'https://outlook.office365.com/', :client_id => '== Client ID ==', :client_assertion_type => 'urn:ietf:params:oauth:client-assertion-type:jwt-bearer', :client_assertion => 'base64_header.base64_payload.base64_signature' )

我希望有所帮助! 这完全基于我对ADAL如何做到这一点的研究,我没有在Ruby中自己测试过。

我只是设法让这个工作,所以我想我会再加上一条建议。 那里的所有说明文章都说你应该将你的证书添加到清单文件中。 我遇到了麻烦,但这就是我所做的最终让它发挥作用:

  • 在Azure中,转到“设置”>“管理证书”
  • 将公钥上传为.cer文件(如果您不知道如何转换它,请浏览一下)。 这应该是文本编辑器barfs的二进制文件。

  • 现在它已经上传,微软将为您提供指纹。 它位于“Thumbprint”列中。 但是 ,它是hex,而不是base64。 所以,像这样转换它: 

     # Hint: use your actual thumbprint, not this fake one echo '5292850026FADB09700E7D6C1BCB1CD1F3270BCC' | xxd -r -p | base64

  • 最后,使用此base64编码的指纹作为JSON标头中x5t的值。

我在git上的HomeController中添加了一个函数来演示如何使用没有ADAL的客户端断言手动请求访问令牌。 使用它可能更容易移植: https : //github.com/mattleib/o365api-as-apponly-webapp/commit/12d5b6dc66055625683020576139f5771e6059e1

只是一些补充:断言中的受众声明与您使用令牌请求解决的端点相同。 正如Jason正确识别的那样,这是AAD的令牌端点: https : //login.windows.net/ {您想要用于} / oauth2 / token的应用令牌的租户。 此外,nbf和exp是你在unix epoche时间创建断言的时间,例如在.net中你会做类似“WebConvert.EpocTime(DateTime.UtcNow)”的事情。 对于“not before”(nbf),可以减去时钟偏差的缓冲区,例如5分钟; 并且为(exp)中的到期添加一些时间,例如15分钟(因此断言在该时间内仍然有效)。

以下是令牌请求(原始)的小提琴跟踪:POST https://login.windows.net/0e49ef1f-ca07-45f1-b4c0-ac9409d3e576/oauth2/token HTTP / 1.1内容类型:application / x-www- form-urlencoded client-request-id:a8108f88-275b-424d-ac28-f675aabe548e return-client-request-id:true x-client-SKU:.NET x-client-Ver:2.12.0.0 x-client-CPU: x64 x-client-OS:Microsoft Windows NT 6.2.9200.0主机:login.windows.net内容长度:983期望:100-continue连接:Keep-Alive

资源= HTTPS%3A%2F%2Fgraph.windows.net%2F&CLIENT_ID = f17bb8a5-2bef-4ad5-a83f-cd7113449fc2&client_assertion_type =瓮%3Aietf%3Aparams%3Aoauth%3Aclient断言型%3Ajwt承载&client_assertion = eyJhbGciOiJSUzI1NiIsIng1dCI6ImY4S2JVY0xtMnItS2s4b1Z3ZVZYTFU0NzhJcyJ9.eyJhdWQiOiJodHRwczpcL1wvbG9naW4ud2luZG93cy5uZXRcLzBlNDllZjFmLWNhMDctNDVmMS1iNGMwLWFjOTQwOWQzZTU3Nlwvb2F1dGgyXC90b2tlbiIsImV4cCI6MTQyMjk4NDMzNSwiaXNzIjoiZjE3YmI4YTUtMmJlZi00YWQ1LWE4M2YtY2Q3MTEzNDQ5ZmMyIiwianRpIjoiZTI3OTA5YTctZGYwMC00NjBhLTlmZjctOGZkNDExOWVmNTYzIiwibmJmIjoxNDIyOTgzNzM1LCJzdWIiOiJmMTdiYjhhNS0yYmVmLTRhZDUtYTgzZi1jZDcxMTM0NDlmYzIifQ.g9bo4- lxpNJ4kEOMuQxODU-5iakwSVIzyRQEPLdbpuNn_XD4lcvt2yBIWT12EQaUVKkMyqFrDiIh4Oav565-Po7HfhmSPF3URXVj8Kx5lx17Zh0nWiaNkRXEi1vhwswsfjm1o-8B8LGUJTtT6JXTognrueuSL1aEE_-4qSG1y74aoc949Un1pQCjwuBtao4vs4CPJLu9Y9mVbirVRRtiIfxkUMmzf6yfMtuhugoGmrvUYntUo4x6N2fu4LxGjuIs7czyrMMAmDRo-XK4sAhDo5uof10HKb8ETEU8mhObwNZcz86MYHWbZm3Z_HDOwzC9kA_tp6hWqmlJ3c-gLg5VXA&grant_type = client_credentials

希望这可以帮助! 祝好运!

马蒂亚斯

Interesting Posts