Aplikacja jednostronicowa: uzyskiwanie tokenu w celu wywołania interfejsu API

Wzorzec uzyskiwania tokenów dla interfejsów API z MSAL.js polega na pierwszej próbie żądania tokenu dyskretnego acquireTokenSilent przy użyciu metody . Po wywołaniu tej metody biblioteka najpierw sprawdza pamięć podręczną w magazynie przeglądarki, aby sprawdzić, czy istnieje token dostępu, który nie wygasł i zwraca go. Jeśli nie znaleziono tokenu dostępu lub znaleziony token dostępu wygasł, próbuje użyć tokenu odświeżania w celu uzyskania nowego tokenu dostępu. Jeśli okres istnienia tokenu odświeżania 24-godzinny również wygasł, MSAL.js otwiera ukryty element iframe w trybie dyskretnym, aby zażądać nowego kodu autoryzacji przy użyciu istniejącej aktywnej sesji z identyfikatorem Entra firmy Microsoft (jeśli istnieje), co spowoduje wymianę nowego zestawu tokenów (tokenów dostępu i odświeżania). Aby uzyskać więcej informacji na temat sesji logowania jednokrotnego i wartości okresu istnienia tokenu w identyfikatorze Entra firmy Microsoft, zobacz Okresy istnienia tokenu. Aby uzyskać więcej informacji na temat zasad wyszukiwania MSAL.js pamięci podręcznej, zobacz: Uzyskiwanie tokenu dostępu.

Żądania tokenu dyskretnego do identyfikatora Entra firmy Microsoft mogą zakończyć się niepowodzeniem z powodów takich jak zmiana hasła lub zaktualizowane zasady dostępu warunkowego. Częściej błędy są spowodowane wygaśnięciem 24-godzinnego okresu istnienia tokenu odświeżania i blokowaniem plików cookie innych firm przez przeglądarkę, co uniemożliwia korzystanie z ukrytych elementów iframe w celu kontynuowania uwierzytelniania użytkownika. W takich przypadkach należy wywołać jedną z metod interaktywnych (które mogą monitować użytkownika) o uzyskanie tokenów:

• Okno podręczne, przy użyciu polecenia acquireTokenPopup
• Przekierowywanie przy użyciu polecenia acquireTokenRedirect

Wybieranie między wyskakującym lub przekierowywanym środowiskiem

Wybór między wyskakującym lub przekierowywanym środowiskiem zależy od przepływu aplikacji:

• Jeśli nie chcesz, aby użytkownicy odeszli od strony głównej aplikacji podczas uwierzytelniania, zalecamy użycie metody wyskakujących okienek. Ponieważ przekierowanie uwierzytelniania odbywa się w oknie podręcznym, stan głównej aplikacji jest zachowywany.

• Jeśli użytkownicy mają ograniczenia przeglądarki lub zasady, w których okna podręczne są wyłączone, możesz użyć metody przekierowania. Użyj metody przekierowania w przeglądarce Internet Explorer, ponieważ istnieją znane problemy z oknami podręcznymi w programie Internet Explorer.

Zakresy interfejsu API, które mają zostać uwzględnione w tokenie dostępu podczas tworzenia żądania tokenu dostępu. Wszystkie żądane zakresy mogą nie zostać przyznane w tokenie dostępu. Zależy to od zgody użytkownika.

Uzyskiwanie tokenu przy użyciu okna podręcznego

JavaScript (MSAL.js v2)

Poniższy kod łączy wcześniej opisany wzorzec z metodami obsługi wyskakujących okienek:

// MSAL.js v2 exposes several account APIs, logic to determine which account to use is the responsibility of the developer
const account = publicClientApplication.getAllAccounts()[0];

const accessTokenRequest = {
  scopes: ["user.read"],
  account: account,
};

publicClientApplication
  .acquireTokenSilent(accessTokenRequest)
  .then(function (accessTokenResponse) {
    // Acquire token silent success
    let accessToken = accessTokenResponse.accessToken;
    // Call your API with token
    callApi(accessToken);
  })
  .catch(function (error) {
    //Acquire token silent failure, and send an interactive request
    if (error instanceof InteractionRequiredAuthError) {
      publicClientApplication
        .acquireTokenPopup(accessTokenRequest)
        .then(function (accessTokenResponse) {
          // Acquire token interactive success
          let accessToken = accessTokenResponse.accessToken;
          // Call your API with token
          callApi(accessToken);
        })
        .catch(function (error) {
          // Acquire token interactive failure
          console.log(error);
        });
    }
    console.log(error);
  });

JavaScript (MSAL.js v1)

Poniższy kod łączy wcześniej opisany wzorzec z metodami obsługi wyskakujących okienek:

const accessTokenRequest = {
  scopes: ["user.read"],
};

userAgentApplication
  .acquireTokenSilent(accessTokenRequest)
  .then(function (accessTokenResponse) {
    // Acquire token silent success
    // Call API with token
    let accessToken = accessTokenResponse.accessToken;
  })
  .catch(function (error) {
    //Acquire token silent failure, and send an interactive request
    if (error.errorMessage.indexOf("interaction_required") !== -1) {
      userAgentApplication
        .acquireTokenPopup(accessTokenRequest)
        .then(function (accessTokenResponse) {
          // Acquire token interactive success
        })
        .catch(function (error) {
          // Acquire token interactive failure
          console.log(error);
        });
    }
    console.log(error);
  });

Angular (MSAL.js v2)

Otoka MSAL Angular udostępnia przechwytnik HTTP, który automatycznie uzyskuje tokeny dostępu w trybie dyskretnym i dołącza je do żądań HTTP do interfejsów API.

Zakresy dla interfejsów API można określić w protectedResourceMap opcji konfiguracji. MsalInterceptor żąda określonych zakresów podczas automatycznego uzyskiwania tokenów.

// In app.module.ts
import { PublicClientApplication, InteractionType } from "@azure/msal-browser";
import { MsalInterceptor, MsalModule } from "@azure/msal-angular";

@NgModule({
  declarations: [
    // ...
  ],
  imports: [
    // ...
    MsalModule.forRoot(
      new PublicClientApplication({
        auth: {
          clientId: "Enter_the_Application_Id_Here",
        },
        cache: {
          cacheLocation: "localStorage",
          storeAuthStateInCookie: isIE,
        },
      }),
      {
        interactionType: InteractionType.Popup,
        authRequest: {
          scopes: ["user.read"],
        },
      },
      {
        interactionType: InteractionType.Popup,
        protectedResourceMap: new Map([
          ["https://graph.microsoft.com/v1.0/me", ["user.read"]],
        ]),
      }
    ),
  ],
  providers: [
    {
      provide: HTTP_INTERCEPTORS,
      useClass: MsalInterceptor,
      multi: true,
    },
  ],
  bootstrap: [AppComponent],
})
export class AppModule {}

W przypadku powodzenia i niepowodzenia pozyskiwania tokenu dyskretnego usługa MSAL Angular udostępnia zdarzenia, do których można zasubskrybować. Ważne jest również, aby pamiętać, aby anulować subskrypcję.

import { MsalBroadcastService } from '@azure/msal-angular';
import { EventMessage, EventType } from '@azure/msal-browser';

import { filter, Subject, takeUntil } from 'rxjs';

// In app.component.ts
export class AppComponent implements OnInit {
  private readonly _destroying$ = new Subject<void>();

  constructor(private broadcastService: MsalBroadcastService) { }

  ngOnInit() {
    this.broadcastService.msalSubject$
    .pipe(
      filter((msg: EventMessage) => msg.eventType === EventType.ACQUIRE_TOKEN_SUCCESS),
      takeUntil(this._destroying$)
    )
    .subscribe((result: EventMessage) => {
      // Do something with event payload here
    });
  }

  ngOnDestroy(): void {
    this._destroying$.next(undefined);
    this._destroying$.complete();
  }
}

Alternatywnie możesz jawnie uzyskać tokeny przy użyciu metod uzyskiwania tokenów zgodnie z opisem w podstawowej bibliotece MSAL.js.

Angular (MSAL.js v1)

Otoka MSAL Angular udostępnia przechwytnik HTTP, który automatycznie uzyskuje tokeny dostępu w trybie dyskretnym i dołącza je do żądań HTTP do interfejsów API. Zakresy dla interfejsów API można określić w protectedResourceMap opcji konfiguracji. MsalInterceptor żąda określonych zakresów podczas automatycznego uzyskiwania tokenów.

// app.module.ts
@NgModule({
  declarations: [
    // ...
  ],
  imports: [
    // ...
    MsalModule.forRoot(
      {
        auth: {
          clientId: "Enter_the_Application_Id_Here",
        },
      },
      {
        popUp: !isIE,
        consentScopes: ["user.read", "openid", "profile"],
        protectedResourceMap: [
          ["https://graph.microsoft.com/v1.0/me", ["user.read"]],
        ],
      }
    ),
  ],
  providers: [
    {
      provide: HTTP_INTERCEPTORS,
      useClass: MsalInterceptor,
      multi: true,
    },
  ],
  bootstrap: [AppComponent],
})
export class AppModule {}

W przypadku powodzenia i niepowodzenia pozyskiwania tokenu dyskretnego usługa MSAL Angular udostępnia wywołania zwrotne, które można subskrybować. Ważne jest również, aby pamiętać, aby anulować subskrypcję.

// In app.component.ts
 ngOnInit() {
    this.subscription = this.broadcastService.subscribe("msal:acquireTokenFailure", (payload) => {
    });
}
ngOnDestroy() {
   this.broadcastService.getMSALSubject().next(1);
   if (this.subscription) {
     this.subscription.unsubscribe();
   }
 }

Alternatywnie możesz jawnie uzyskać tokeny przy użyciu metod uzyskiwania tokenów zgodnie z opisem w podstawowej bibliotece MSAL.js.

React

Poniższy kod łączy wcześniej opisany wzorzec z metodami obsługi wyskakujących okienek:

import {
  InteractionRequiredAuthError,
  InteractionStatus,
} from "@azure/msal-browser";
import { AuthenticatedTemplate, useMsal } from "@azure/msal-react";

function ProtectedComponent() {
  const { instance, inProgress, accounts } = useMsal();
  const [apiData, setApiData] = useState(null);

  useEffect(() => {
    if (!apiData && inProgress === InteractionStatus.None) {
      const accessTokenRequest = {
        scopes: ["user.read"],
        account: accounts[0],
      };
      instance
        .acquireTokenSilent(accessTokenRequest)
        .then((accessTokenResponse) => {
          // Acquire token silent success
          let accessToken = accessTokenResponse.accessToken;
          // Call your API with token
          callApi(accessToken).then((response) => {
            setApiData(response);
          });
        })
        .catch((error) => {
          if (error instanceof InteractionRequiredAuthError) {
            instance
              .acquireTokenPopup(accessTokenRequest)
              .then(function (accessTokenResponse) {
                // Acquire token interactive success
                let accessToken = accessTokenResponse.accessToken;
                // Call your API with token
                callApi(accessToken).then((response) => {
                  setApiData(response);
                });
              })
              .catch(function (error) {
                // Acquire token interactive failure
                console.log(error);
              });
          }
          console.log(error);
        });
    }
  }, [instance, accounts, inProgress, apiData]);

  return <p>Return your protected content here: {apiData}</p>;
}

function App() {
  return (
    <AuthenticatedTemplate>
      <ProtectedComponent />
    </AuthenticatedTemplate>
  );
}

Alternatywnie, jeśli musisz uzyskać token poza składnikiem React, możesz wywołać acquireTokenSilent metodę , ale nie należy wracać do interakcji, jeśli zakończy się niepowodzeniem. Wszystkie interakcje powinny odbywać się pod składnikiem MsalProvider w drzewie składników.

// MSAL.js v2 exposes several account APIs, logic to determine which account to use is the responsibility of the developer
const account = publicClientApplication.getAllAccounts()[0];

const accessTokenRequest = {
  scopes: ["user.read"],
  account: account,
};

// Use the same publicClientApplication instance provided to MsalProvider
publicClientApplication
  .acquireTokenSilent(accessTokenRequest)
  .then(function (accessTokenResponse) {
    // Acquire token silent success
    let accessToken = accessTokenResponse.accessToken;
    // Call your API with token
    callApi(accessToken);
  })
  .catch(function (error) {
    //Acquire token silent failure
    console.log(error);
  });

Uzyskiwanie tokenu za pomocą przekierowania

JavaScript (MSAL.js v2)

Poniższy wzorzec jest opisany wcześniej, ale pokazany przy użyciu metody przekierowania w celu interaktywnego uzyskiwania tokenów. Musisz wywołać metodę i poczekać handleRedirectPromise na załadowanie strony.

const redirectResponse = await publicClientApplication.handleRedirectPromise();
if (redirectResponse !== null) {
  // Acquire token silent success
  let accessToken = redirectResponse.accessToken;
  // Call your API with token
  callApi(accessToken);
} else {
  // MSAL.js v2 exposes several account APIs, logic to determine which account to use is the responsibility of the developer
  const account = publicClientApplication.getAllAccounts()[0];

  const accessTokenRequest = {
    scopes: ["user.read"],
    account: account,
  };

  publicClientApplication
    .acquireTokenSilent(accessTokenRequest)
    .then(function (accessTokenResponse) {
      // Acquire token silent success
      // Call API with token
      let accessToken = accessTokenResponse.accessToken;
      // Call your API with token
      callApi(accessToken);
    })
    .catch(function (error) {
      //Acquire token silent failure, and send an interactive request
      console.log(error);
      if (error instanceof InteractionRequiredAuthError) {
        publicClientApplication.acquireTokenRedirect(accessTokenRequest);
      }
    });
}

JavaScript (MSAL.js v1)

Poniższy wzorzec jest opisany wcześniej, ale pokazany przy użyciu metody przekierowania w celu interaktywnego uzyskiwania tokenów. Musisz zarejestrować wywołanie zwrotne przekierowania, jak wspomniano wcześniej.

function authCallback(error, response) {
  // Handle redirect response
}

userAgentApplication.handleRedirectCallback(authCallback);

const accessTokenRequest: AuthenticationParameters = {
  scopes: ["user.read"],
};

userAgentApplication
  .acquireTokenSilent(accessTokenRequest)
  .then(function (accessTokenResponse) {
    // Acquire token silent success
    // Call API with token
    let accessToken = accessTokenResponse.accessToken;
  })
  .catch(function (error) {
    //Acquire token silent failure, and send an interactive request
    console.log(error);
    if (error.errorMessage.indexOf("interaction_required") !== -1) {
      userAgentApplication.acquireTokenRedirect(accessTokenRequest);
    }
  });

Żądanie opcjonalnych oświadczeń

W następujących celach można użyć opcjonalnych oświadczeń:

• Uwzględnij dodatkowe oświadczenia w tokenach dla aplikacji.
• Zmień zachowanie niektórych oświadczeń zwracanych przez identyfikator Entra firmy Microsoft w tokenach.
• Dodawać oświadczenia niestandardowe dla aplikacji i uzyskiwać do nich dostęp.

Aby zażądać opcjonalnych oświadczeń w programie IdToken, możesz wysłać obiekt oświadczeń ciągowych do claimsRequest pola AuthenticationParameters.ts klasy.

var claims = {
  optionalClaims: {
    idToken: [
      {
        name: "auth_time",
        essential: true,
      },
    ],
  },
};

var request = {
  scopes: ["user.read"],
  claimsRequest: JSON.stringify(claims),
};

myMSALObj.acquireTokenPopup(request);

Aby dowiedzieć się więcej, zobacz Opcjonalne oświadczenia.

Angular (MSAL.js v2)

Ten kod jest taki sam jak opisany wcześniej, z tą różnicą, że zalecamy uruchomienie metody , MsalRedirectComponent aby obsłużyć przekierowania. MsalInterceptor konfiguracje można również zmienić, aby używać przekierowań.

// In app.module.ts
import { PublicClientApplication, InteractionType } from "@azure/msal-browser";
import {
  MsalInterceptor,
  MsalModule,
  MsalRedirectComponent,
} from "@azure/msal-angular";

@NgModule({
  declarations: [
    // ...
  ],
  imports: [
    // ...
    MsalModule.forRoot(
      new PublicClientApplication({
        auth: {
          clientId: "Enter_the_Application_Id_Here",
        },
        cache: {
          cacheLocation: "localStorage",
          storeAuthStateInCookie: isIE,
        },
      }),
      {
        interactionType: InteractionType.Redirect,
        authRequest: {
          scopes: ["user.read"],
        },
      },
      {
        interactionType: InteractionType.Redirect,
        protectedResourceMap: new Map([
          ["https://graph.microsoft.com/v1.0/me", ["user.read"]],
        ]),
      }
    ),
  ],
  providers: [
    {
      provide: HTTP_INTERCEPTORS,
      useClass: MsalInterceptor,
      multi: true,
    },
  ],
  bootstrap: [AppComponent, MsalRedirectComponent],
})
export class AppModule {}

Angular (MSAL.js v1)

Ten kod jest taki sam jak opisany wcześniej.

React

Jeśli acquireTokenSilent nie powiedzie się, powrót do elementu acquireTokenRedirect. Ta metoda inicjuje przekierowanie w pełnej ramce, a odpowiedź zostanie obsłużona podczas powrotu do aplikacji. Gdy ten składnik jest renderowany po powrocie z przekierowania, powinien teraz zakończyć się powodzeniem, acquireTokenSilent ponieważ tokeny zostaną ściągnięte z pamięci podręcznej.

import {
  InteractionRequiredAuthError,
  InteractionStatus,
} from "@azure/msal-browser";
import { AuthenticatedTemplate, useMsal } from "@azure/msal-react";

function ProtectedComponent() {
  const { instance, inProgress, accounts } = useMsal();
  const [apiData, setApiData] = useState(null);

  useEffect(() => {
    const accessTokenRequest = {
      scopes: ["user.read"],
      account: accounts[0],
    };
    if (!apiData && inProgress === InteractionStatus.None) {
      instance
        .acquireTokenSilent(accessTokenRequest)
        .then((accessTokenResponse) => {
          // Acquire token silent success
          let accessToken = accessTokenResponse.accessToken;
          // Call your API with token
          callApi(accessToken).then((response) => {
            setApiData(response);
          });
        })
        .catch((error) => {
          if (error instanceof InteractionRequiredAuthError) {
            instance.acquireTokenRedirect(accessTokenRequest);
          }
          console.log(error);
        });
    }
  }, [instance, accounts, inProgress, apiData]);

  return <p>Return your protected content here: {apiData}</p>;
}

function App() {
  return (
    <AuthenticatedTemplate>
      <ProtectedComponent />
    </AuthenticatedTemplate>
  );
}

Alternatywnie, jeśli musisz uzyskać token poza składnikiem React, możesz wywołać acquireTokenSilent metodę , ale nie należy wracać do interakcji, jeśli zakończy się niepowodzeniem. Wszystkie interakcje powinny odbywać się pod składnikiem MsalProvider w drzewie składników.

// MSAL.js v2 exposes several account APIs, logic to determine which account to use is the responsibility of the developer
const account = publicClientApplication.getAllAccounts()[0];

const accessTokenRequest = {
  scopes: ["user.read"],
  account: account,
};

// Use the same publicClientApplication instance provided to MsalProvider
publicClientApplication
  .acquireTokenSilent(accessTokenRequest)
  .then(function (accessTokenResponse) {
    // Acquire token silent success
    let accessToken = accessTokenResponse.accessToken;
    // Call your API with token
    callApi(accessToken);
  })
  .catch(function (error) {
    //Acquire token silent failure
    console.log(error);
  });

Następne kroki

Przejdź do następnego artykułu w tym scenariuszu Wywoływanie internetowego interfejsu API.