azure-active-directory - 调用 .\auth\refresh 端点后 Azure 应用服务身份验证令牌未刷新

当它通常会成功时，对 api 的调用也会失败，并显示 401 Unauthorized。

您不应该调用/.auth/refreshAPI 应用程序。身份验证令牌是在 WEB 应用程序上生成的， 因此 您需要/.auth/refresh在WEB 应用程序上调用。

如果您需要不记名令牌的替代品，您可以使用客户端请求中的AppServiceAuthSession cookie 到/.auth/refresh.

然后将返回的令牌缓存在会话存储中并用于后续请求，直到令牌过期。当令牌过期时，我调用 .auth\refresh 端点（并发送 AppServiceAuthSession cookie），然后调用 .auth\me 以获取刷新的令牌。

为了确保正确捕获上下文，我们有一个面向用户的 Web 应用程序，该应用程序反过来调用 API 后端，该后端又调用 MSFT 图。我们期望在每个阶段都有不同的 AAD 注册：

• Web应用注册（API应用权限）
• API 应用注册（获得Microsoft Graph的许可）

因为这似乎与添加图形权限有关，所以我们的第一个猜测是用户尚未对 Microsoft Graph 授权。如果您只是刷新现有令牌，则没有机会获得该同意，因为不涉及用户。您必须让用户使用明确的同意提示重新登录，这可以通过 /.auth/login/aad?prompt=consent 调用来实现。但是，我们不希望这会导致过期错误。缓存的过期值可能被用作该权限错误的后备，但我猜。康纳将不得不在那里权衡。

另一条很好的信息是来自实际身份验证/授权层本身的日志，尤其是在出现错误消息的情况下。要获取这些日志：

• 从门户中的应用程序（API 应用程序是我最感兴趣的）：“平台功能”>“诊断日志”。将“应用程序日志记录（文件系统）”更改为“开启”并将级别设置为“详细”。点击保存。
• 返回“平台功能”>“日志流”并在重现问题时保持该窗口打开（在这种情况下，调用 API 应用程序）

实际上，问题在于/.auth/refreshAPI 不适用于 AAD 不记名令牌。相反，您需要使用会话 cookie ( AppServiceAuthSession cookie) 或会话令牌 ( x-zumo-auth标头)，它们是登录操作的输出。有关更多信息 - 请参阅此处#refreshing-the-access-tokens