本教程是一系列教程的最后一部分,演示如何生成和测试在 Microsoft Entra 租户中注册的受保护 Web API。 在本系列的第 1 部分中,你创建了一个 ASP.NET 核心 Web API 并保护其终结点。 现在,你将创建一个轻型守护程序应用,在租户中注册它,并使用守护程序应用测试生成的 Web API。
本教程中,您将学习如何:
- 注册守护程序应用
- 为守护程序应用分配应用角色
- 生成守护程序应用
- 运行守护程序应用以调用受保护的 Web API
先决条件
- 如果尚未完成教程,请通过微软身份验证平台生成并保护 ASP.NET Core Web API
注册守护程序应用
以下步骤演示如何在 Microsoft Entra 管理中心注册守护程序应用:
至少以应用程序开发人员的身份登录到 Microsoft Entra 管理中心。
如果有权访问多个租户,请使用顶部菜单中的 “设置” 图标从 “目录 + 订阅 ”菜单切换到租户。
浏览到“标识”“应用程序”>“应用注册”>。
选择“+ 新建注册”。
在出现的“注册应用程序”页面中,输入应用程序的注册信息:
在“名称”部分中,输入将向应用用户显示的有意义的应用程序名称,例如“ciam-client-app”。
在“支持的帐户类型”下,选择“仅此组织目录中的帐户”。
选择“注册”。
注册完成后,将显示应用程序的“概述”窗格。 记录要用于应用程序源代码的目录(租户)ID 和应用程序(客户端)ID。
为注册的应用创建客户端机密。 应用程序在请求令牌时使用客户端密码来证明其标识:
- 从 “应用注册 ”页中,选择你创建的应用程序(如 Web 应用客户端密码)以打开其 “概述 ”页。
- 在“ 管理”下,选择“ 证书和机密>客户端机密>”新建客户端机密。
- 在 “说明 ”框中,输入客户端密码的说明(例如 Web 应用客户端密码)。
- 在“过期时间”下,选择密码的有效期(根据组织的安全规则),然后选择“添加”。
- 记下机密的“值”。 您将在后续步骤中将此值用于配置。 离开“证书和机密”后,机密值不会再次显示,并且无法以任何方式检索。 请确保记录它。
为守护程序应用分配应用角色
自行进行身份验证的应用需要应用权限。
在 “应用注册 ”页中,选择你创建的守护程序应用程序。
在“管理”下,选择 API 权限。
在“已配置权限”下,选择“添加权限”。
选择“我的组织使用的 API”选项卡。
在 API 列表中,选择之前注册的 Web API。
选择“应用程序权限”选项。 我们选择此选项是因为应用以自身身份登录,而不是以用户身份登录。
从权限列表中,选择 Forecast.Read (如有必要,请使用搜索框)。
选择“添加权限”按钮。
此时,你已正确分配了权限。 但是,由于守护程序应用不允许用户与其交互,因此用户本身无法同意这些权限。 若要解决此问题,作为管理员的你必须代表租户中的所有用户同意这些权限:
- 选择“为<租户名称>授予管理员同意”,然后选择“是”。
- 选择“刷新”,然后验证相应权限的“状态”下是否显示“已为<租户名称>授权”。。
生成守护程序应用
初始化 .NET 控制台应用并导航到其根文件夹:
dotnet new console -o MyTestApp cd MyTestApp通过运行以下命令安装 MSAL.NET 来帮助处理身份验证:
dotnet add package Microsoft.Identity.Client运行你的 API 项目并记下它运行的端口。
打开 Program.cs 文件,将“Hello world”代码替换为以下代码。
using System; using System.Net.Http; using System.Net.Http.Headers; HttpClient client = new HttpClient(); var response = await client.GetAsync("http://localhost:<your-api-port>/weatherforecast"); Console.WriteLine("Your response is: " + response.StatusCode);导航到守护程序应用根目录,使用命令
dotnet run运行应用。 此代码发送一个没有访问令牌的请求。 你应该会在控制台中看到字符串“你的响应是: 未授权”。删除步骤 4 中的代码,将其替换为以下代码,以通过发送一个具有有效访问令牌的请求来测试你的 API。 此守护程序应用使用客户端凭据流获取访问令牌,因为它无需用户交互即可进行身份验证。
using Microsoft.Identity.Client; using System; using System.Net.Http; using System.Net.Http.Headers; HttpClient client = new HttpClient(); var clientId = "<your-daemon-app-client-id>"; var clientSecret = "<your-daemon-app-secret>"; var scopes = new[] {"api://<your-web-api-application-id>/.default"}; var tenantName= "<your-tenant-name>"; var authority = $"https://{tenantName}.ciamlogin.com/"; var app = ConfidentialClientApplicationBuilder .Create(clientId) .WithAuthority(authority) .WithClientSecret(clientSecret) .Build(); var result = await app.AcquireTokenForClient(new string[] { scopes }).ExecuteAsync(); Console.WriteLine($"Access Token: {result.AccessToken}"); client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken); var response = await client.GetAsync("http://localhost:/<your-api-port>/weatherforecast"); var content = await response.Content.ReadAsStringAsync(); Console.WriteLine("Your response is: " + response.StatusCode); Console.WriteLine(content);导航到守护程序应用根目录,使用命令
dotnet run运行应用。 此代码发送一个具有有效访问令牌的请求。 你应当会在控制台中看到打印输出的字符串“Your response is: OK”,以及来自简易 API 的虚拟天气预报数据。Your response is: OK [{"date":"2025-03-01","temperatureC":45,"summary":"Warm","temperatureF":112}, {"date":"2025-03-02","temperatureC":7,"summary":"Freezing","temperatureF":44}, {"date":"2025-03-03","temperatureC":48,"summary":"Sweltering","temperatureF":118}, {"date":"2025-03-04","temperatureC":-20,"summary":"Chilly","temperatureF":-3}, {"date":"2025-03-05","temperatureC":12,"summary":"Scorching","temperatureF":53}]