Adquirir e armazenar tokens em cache usando a MSAL (Biblioteca de Autenticação da Microsoft)
Os tokens de acesso permitem que os clientes chamem com segurança as APIs Web protegidas pelo Azure. Há muitas maneiras de adquirir um token usando a MSAL (Biblioteca de Autenticação da Microsoft). Algumas exigem a interação do usuário por meio de um navegador da Web, enquanto outras não exigem interação do usuário. Geralmente, a maneira de adquirir um token dependerá se o aplicativo for um aplicativo cliente público, como área de trabalho ou aplicativo móvel, ou um aplicativo cliente confidencial, como aplicativo Web, API Web ou aplicativo daemon.
A MSAL armazena um token em cache após ele ter sido adquirido. O código do aplicativo deve primeiro tentar obter um token silenciosamente do cache antes de tentar adquirir um token por outros meios.
Também é possível limpar o cache do token removendo as contas do cache. No entanto, isso não remove o cookie de sessão que está no navegador.
Escopos ao adquirir tokens
Escopos são as permissões que uma API Web expõe para que os aplicativos cliente possam solicitar acesso. Os aplicativos cliente solicitam o consentimento do usuário para esses escopos quando fazem solicitações de autenticação para obter tokens para acessar as APIs da Web. A MSAL permite que você obtenha tokens para acessar o Azure AD para desenvolvedores (v1.0) e as APIs da plataforma de identidade da Microsoft. O protocolo v2.0 usa escopos em vez de recursos nas solicitações. Com base na configuração da API Web da versão do token que ela aceita, o ponto de extremidade da v2.0 retorna o token de acesso à MSAL.
Vários métodos de aquisição de token do MSAL exigem um parâmetro scopes
. O parâmetro scopes
é uma lista de cadeias de caracteres que declaram as permissões e os recursos desejados que são solicitados. Escopos bem conhecidos são as permissões do Microsoft Graph.
Na MSAL, também é possível acessar recursos da versão 1.0. Veja mais informações em Escopos de um aplicativo v1.0.
Solicitar escopos para uma API Web
Quando o aplicativo precisar solicitar tokens com permissões específicas para uma API de recursos, passe os escopos que contêm o URI da ID do aplicativo da API no formato <app ID URI>/<scope>
.
Alguns exemplos de valores de escopo para diferentes recursos:
- API do Microsoft Graph:
https://graph.microsoft.com/User.Read
- API Web personalizada:
api://11111111-1111-1111-1111-111111111111/api.read
O formato do valor do escopo varia de acordo com o recurso (a API) que recebe o token de acesso e os valores da declaração aud
que ele aceita.
Somente para Microsoft Graph, o escopo user.read
é mapeado para https://graph.microsoft.com/User.Read
, e ambos os formatos de escopo podem ser usados de forma intercambiável.
Determinadas APIs Web, como a API do Azure Resource Manager (https://management.core.windows.net/
) exigem uma barra à direita (/
) na declaração do público-alvo (aud
) do token de acesso. Neste caso, passe o escopo como https://management.core.windows.net//user_impersonation
, incluindo a barra dupla à direita (//
).
Outras APIs podem exigir que nenhum esquema ou host seja incluído no valor do escopo e espere apenas a ID do aplicativo (um GUID) e o nome do escopo, como por exemplo:
11111111-1111-1111-1111-111111111111/api.read
Dica
Se o recurso downstream não estiver sob controle, talvez seja necessário tentar diferentes formatos de valor de escopo (por exemplo, com/sem esquema e host) se você receber 401
ou outros erros ao passar o token de acesso para o recurso.
Solicitar escopos dinâmicos de consentimento incremental
Conforme os recursos fornecidos pelo aplicativo ou requisitos mudam, você pode solicitar permissões adicionais, conforme necessário, usando o parâmetro de escopo. Esses escopos dinâmicos permitem que os usuários forneçam consentimento incremental para escopos.
Por exemplo, você pode conectar o usuário, mas inicialmente negar acesso a todos os recursos. Posteriormente, você pode oferecer ao usuário permissão para exibir o calendário dele solicitando o escopo do calendário nos métodos de token de aquisição e obter o consentimento do usuário para tal. Por exemplo, solicitando os escopos https://graph.microsoft.com/User.Read
e https://graph.microsoft.com/Calendar.Read
.
Adquirir tokens silenciosamente (do cache)
A MSAL mantém um cache de token (ou dois caches para aplicativos cliente confidenciais) e armazena um token em cache após ele ser adquirido. Em muitos casos, a tentativa de obter um token silenciosamente adquirirá outro token com mais escopos tendo como base um token armazenado no cache. Além disso, a MSAL também pode atualizar um token quando a expiração estiver próxima (pois o cache de tokens também contém um token de atualização).
Padrão de chamada recomendado para aplicativos cliente públicos
O código-fonte do aplicativo deve primeiro tentar obter um token silenciosamente a partir do cache. Se a chamada do método retornar um erro ou exceção "IU necessária", tente adquirir um token por outros meios.
Existem, entretanto, dois fluxos nos quais você não deve tentar adquirir um token silenciosamente:
- Fluxo de credenciais do cliente que não usa o cache de token do usuário, mas um cache de token de aplicativo. Esse método se encarrega de verificar o cache de token do aplicativo antes de enviar uma solicitação ao STS (serviço de token de segurança).
- Fluxo de código de autorização em aplicativos Web já que ele resgata o código obtido pelo aplicativo quando ele realizou a conexão do usuário e deu consentimento para mais escopos. Como um código, e não uma conta, é passado como parâmetro, o método não pode procurar no cache antes de resgatar o código, o que invoca uma chamada para o serviço.
Padrão de chamada recomendado em aplicativos Web usando o fluxo de código de autorização
Para aplicativos Web que usam o fluxo de código de autorização do OpenID Connect, o padrão recomendado nos controladores é:
- Instancie um aplicativo cliente confidencial com um cache de tokens com serialização personalizada.
- Adquira o token usando o fluxo do código de autorização
Adquirir tokens
Em geral, o método de aquisição de um token variará se ele for um aplicativo cliente público ou confidencial.
Aplicativos cliente públicos
Em aplicativos cliente públicos, como desktop e aplicativos móveis, você pode:
- Obter tokens interativamente fazendo com que o usuário entre pela interface do usuário ou por uma janela pop-up.
- Obter um token silenciosamente para o usuário conectado usando a IWA/Kerberos (autenticação integrada do Windows) se o aplicativo da área de trabalho estiver sendo executado em um computador Windows associado a um domínio ou ao Azure.
- Obter um token com um nome de usuário e senha em aplicativos cliente de desktop do .NET Framework (não recomendado). Não use o nome de usuário e senha em aplicativos cliente confidenciais.
- Obter um token por meio do fluxo de código do dispositivo em aplicativos executados em dispositivos que não têm um navegador da Web. O usuário recebe uma URL e um código. Depois, ele acessa um navegador da Web em outro dispositivo, insere o código e entra. Em seguida, o Azure AD envia um token de volta ao dispositivo sem navegador.
Aplicativos cliente confidenciais
Para aplicativos cliente confidenciais (aplicativo Web, API Web ou aplicativo daemon como um serviço Windows), você pode;
- Adquira tokens para o aplicativo em si e não para um usuário, usando o fluxo de credenciais do cliente. Essa técnica pode ser usada para ferramentas de sincronização ou ferramentas que processam usuários em geral e não um usuário específico.
- Use o fluxo OBO (on-behalf-of) para uma API Web para chamar uma API em nome do usuário. O aplicativo é identificado com as credenciais do cliente para adquirir um token com base na declaração de um usuário (SAML, por exemplo, ou um token JWT). Esse fluxo é usado por aplicativos que precisam acessar recursos de um usuário específico em chamadas de serviço a serviço.
- Adquira tokens usando o fluxo de código de autorização em aplicativos Web depois que o usuário entrar usando a URL de solicitação de autorização. O aplicativo do OpenID Connect geralmente usa esse mecanismo que permite ao usuário entrar usando o Open ID Connect e acessar as APIs Web em nome do usuário.
Resultados da autenticação
Quando seu cliente solicita um token de acesso, o Azure AD também retorna um resultado da autenticação que inclui metadados sobre o token de acesso. Essas informações incluem a data de expiração do token de acesso e os escopos para os quais ele é válido. Esses dados permitem ao aplicativo realizar o cache inteligente dos tokens de acesso sem precisar analisar o token de acesso em si. O resultado da autenticação expõe:
- O token de acesso da API Web para acessar os recursos. Essa cadeia de caracteres geralmente é um JWT codificado em Base64, mas o cliente nunca deve explorar o token de acesso. Não há garantia de que o formato permaneça estável e pode ser criptografado para o recurso. A gravação de código que depende do conteúdo do token de acesso no cliente é uma das origens mais comuns de erros e quebras de lógica do cliente.
- O token de ID para o usuário (um JWT).
- A expiração do token, que informa a data/hora da expiração do token.
- A ID do locatário contém o locatário no qual o usuário foi encontrado. Para usuários convidados (cenários B2B do Azure AD), a ID do locatário é o locatário convidado e não o locatário exclusivo. Quando o token é entregue em nome de um usuário, o resultado da autenticação também contém informações sobre esse usuário. Para fluxos de clientes confidenciais em que os tokens são solicitados sem nenhum usuário (para o aplicativo), essas informações sobre o usuário são nulas.
- Os escopos para os quais o token foi emitido.
- A ID exclusiva para o usuário.