之所以收到此错误,是因为在高速缓存为空时,调用acquiretokensilentasync会引发该错误。该调用应被尝试捕获。如果确实抛出此错误,则应调用acquisitiontokenasync调用。
除此之外,您似乎正在尝试通过acquiretokensilentasync调用来利用客户端凭证流,这不是根据ADAL Wiki文档使用的正确方法。
请参阅此处以了解如何正确执行此操作:https : //github.com/AzureAD/azure-activedirectory-library-for-dotnet/wiki/Client-credential-flows
似乎您正在使用应用程序ID和密码,尤其是根据上面链接的文档进行操作的方法是:
AuthenticationContext authenticationContext = new AuthenticationContext("https://login.microsoftonline.com/<tenantId>");
AuthenticationResult result = await authenticationContext.AcquireTokenAsync("https://resourceUrl", clientCredential);
可以在以下位置找到更多有关acquiretokensilentasync调用的详细文档:https : //github.com/AzureAD/azure-activedirectory-library-for-dotnet/wiki/AcquireTokenSilentAsync-using-a-cached-token
从上面的文档中:
推荐的获取代币的模式
既然您已经看到了AcquireTokenAsync和AcquireTokenSilentAsync,现在正是提出建议的使用模式来调用这些方法的最佳时机。这个想法是,您希望最大程度地减少用户的签名次数,因此,您希望:
首先尝试以静默方式获取令牌,如果此调用失败,则尝试以交互方式获取令牌。请注意,不需要在客户端凭据流中调用AcquireTokenSilent(当应用程序在没有用户的情况下以其自己的名称获取令牌时)
请注意,AcquireTokenSilent可能由于多种原因而失败,例如高速缓存不包含该用户的令牌,或者该令牌已过期且无法刷新。由于这些原因,对AcquireTokenAsync的调用通常会获得一个令牌。但是也存在诸如网络问题,STS不可用等问题,这些问题无法直接解决。您将在有关处理错误的最佳实践的文章中更详细地了解它们。
除此之外,您似乎正在使用ADAL库,我建议您移至MSAL库,因为Microsoft正在缓慢地使用MSAL库,并且在将来的某个时候(可能是将来) ADAL / V1.0终结点。但是,目前尚无此日期。从ADAL迁移到MSAL的文档可以在以下位置找到:
https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/wiki/Adal-to-Msal
我按照您想要的方式更改了控制器并提交了它。您可以在GitHub链接中看到更改。(TodoListWebApp / Controllers / TodoListController.cs)。这是我以前尝试过的方法。当我像这样使用它时,当我向服务发送请求时,响应变为false(response.IsSuccessStatusCode = false)。因此,我仍然没有从Web API的get方法获得答案。
我认为TodoListService / Controllers / TodoListController.cs中的ClaimsPrincipal部分是该服务返回错误结果的原因。
结果为假,因为在服务中ClaimsPrincipal.Current.FindFirst(“ schemas.microsoft.com/identity/claims/scope”)为空。(TodoListService / Controllers / TodoListController.cs)