Teste sua API protegida
Este tutorial é a parte final de uma série que demonstra a criação e o teste de uma API da Web protegida registrada em um locatário externo. Na Parte 1 desta série, você criou uma API da Web ASP.NET Core e protegeu seus endpoints. Nesta etapa final, você registrará o aplicativo daemon e testará sua API.
Neste tutorial, irá aprender a:
- Testar uma API da Web protegida usando um aplicativo daemon leve que chama a API da Web
Pré-requisitos
Tutorial: Proteger uma API da Web do ASP.NET Core registrada em um locatário externo
Registrar o aplicativo daemon
As etapas a seguir mostram como registrar seu aplicativo daemon no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
Se tiver acesso a vários inquilinos, utilize o ícone
Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.Navegue até Registros do aplicativo Identity>Applications>.
Selecione + Novo registo.
Na página Registar uma candidatura apresentada, introduza as informações de registo da sua candidatura:
Na seção Nome, insira um nome de aplicativo significativo que será exibido para os usuários do aplicativo, por exemplo, ciam-client-app.
Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.
Selecione Registar.
O painel Visão geral do aplicativo é exibido quando o registro é concluído. Registre o ID do diretório (locatário) e o ID do aplicativo (cliente) a serem usados no código-fonte do aplicativo.
Crie um segredo de cliente para o aplicativo registrado. O aplicativo usa o segredo do cliente para provar sua identidade quando solicita tokens.
- Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
- Em Gerenciar, selecione Certificados & segredos.
- Selecione Novo segredo do cliente.
- Na caixa Descrição, insira uma descrição para o segredo do cliente (por exemplo, segredo do cliente do aplicativo ciam).
- Em Expira, selecione uma duração para a qual o segredo é válido (de acordo com as regras de segurança da sua organização) e, em seguida, selecione Adicionar.
- Registre o valor do segredo. Você usará esse valor para configuração em uma etapa posterior. O valor secreto não será exibido novamente e não poderá ser recuperado por nenhum meio, depois que você navegar para longe dos Certificados e segredos. Certifique-se de gravá-lo.
Atribuir função de aplicativo ao seu aplicativo daemon
As aplicações que se autenticam por si só requerem permissões de aplicações.
Na página Registros de aplicativos, selecione o aplicativo que você criou, como ciam-client-app.
Em Gerenciar, selecione Permissões de API.
Em Permissões configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs que minha organização usa .
Na lista de APIs, selecione a API, como ciam-ToDoList-api.
Selecione a opção Permissões do aplicativo. Selecionamos essa opção quando o aplicativo entra como ele mesmo, mas não em nome de um usuário.
Na lista de permissões, selecione TodoList.Read.All, ToDoList.ReadWrite.All (use a caixa de pesquisa, se necessário).
Selecione o botão Adicionar permissões .
Neste ponto, você atribuiu as permissões corretamente. No entanto, como o aplicativo daemon não permite que os usuários interajam com ele, os próprios usuários não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:
- Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambas as permissões.
Escrever código
Inicializar um aplicativo de console .NET e navegar até sua pasta raiz
dotnet new console -o MyTestApp cd MyTestAppInstale o MSAL para ajudá-lo a lidar com a autenticação executando o seguinte comando:
dotnet add package Microsoft.Identity.ClientExecute seu projeto de API e anote a porta na qual ele está sendo executado.
Abra o arquivo Program.cs e substitua o código "Hello world" pelo código a seguir.
using System; using System.Net.Http; using System.Net.Http.Headers; HttpClient client = new HttpClient(); var response = await client.GetAsync("https://localhost:<your-api-port>/api/todolist"); Console.WriteLine("Your response is: " + response.StatusCode);Navegue até o diretório raiz do aplicativo daemon e execute o aplicativo usando o comando
dotnet run. Esse código envia uma solicitação sem um token de acesso. Você deve ver a string: Sua resposta é: Não autorizado impresso em seu console.Remova o código na etapa 4 e substitua pelo seguinte para testar sua API enviando uma solicitação com um token de acesso válido.
using Microsoft.Identity.Client; using System; using System.Net.Http; using System.Net.Http.Headers; HttpClient client = new HttpClient(); var clientId = "<your-daemon-app-client-id>"; var clientSecret = "<your-daemon-app-secret>"; var scopes = new[] {"api://<your-web-api-application-id>/.default"}; var tenantName= "<your-tenant-name>"; var authority = $"https://{tenantName}.ciamlogin.com/"; var app = ConfidentialClientApplicationBuilder .Create(clientId) .WithAuthority(authority) .WithClientSecret(clientSecret) .Build(); var result = await app.AcquireTokenForClient(scopes).ExecuteAsync(); client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken); var response = await client.GetAsync("https://localhost:44351/api/todolist"); Console.WriteLine("Your response is: " + response.StatusCode);Navegue até o diretório raiz do aplicativo daemon e execute o aplicativo usando o comando
dotnet run. Esse código envia uma solicitação com um token de acesso válido. Você deve ver a string: Sua resposta é: OK impresso no console.