Come chiamare un'API Web downstream da un'app daemon

Microsoft.Identity.Web elimina la complessità di MSAL.NET. Offre API di livello superiore che gestiscono automaticamente gli elementi interni di MSAL.NET, come ad esempio l'elaborazione di errori di accesso condizionale, la memorizzazione nella cache.

Ecco il file Program.cs dell'app daemon che chiama un'API a valle:

using Microsoft.Extensions.DependencyInjection;
using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web;

// In the Program.cs, acquire a token for your downstream API

var tokenAcquirerFactory = TokenAcquirerFactory.GetDefaultInstance();
tokenAcquirerFactory.Services.AddDownstreamApi("MyApi",
    tokenAcquirerFactory.Configuration.GetSection("MyWebApi"));
var sp = tokenAcquirerFactory.Build();

var api = sp.GetRequiredService<IDownstreamApi>();
var result = await api.GetForAppAsync<IEnumerable<TodoItem>>("MyApi");
Console.WriteLine($"result = {result?.Count()}");

Ecco la Program.cs di un'app daemon che chiama Microsoft Graph:

var tokenAcquirerFactory = TokenAcquirerFactory.GetDefaultInstance();
tokenAcquirerFactory.Services.AddMicrosoftGraph();
var serviceProvider = tokenAcquirerFactory.Build();
try
{
    GraphServiceClient graphServiceClient = serviceProvider.GetRequiredService<GraphServiceClient>();
    var users = await graphServiceClient.Users
        .GetAsync(r => r.Options.WithAppOnly());
    Console.WriteLine($"{users.Count} users");
    Console.ReadKey();
}
catch (Exception ex) { Console.WriteLine("We could not retrieve the user's list: " + $"{ex}"); }

HttpURLConnection conn = (HttpURLConnection) url.openConnection();

// Set the appropriate header fields in the request header.
conn.setRequestProperty("Authorization", "Bearer " + accessToken);
conn.setRequestProperty("Accept", "application/json");

String response = HttpClientHelper.getResponseStringFromConn(conn);

int responseCode = conn.getResponseCode();
if(responseCode != HttpURLConnection.HTTP_OK) {
    throw new IOException(response);
}

JSONObject responseObject = HttpClientHelper.processResponse(responseCode, response);

Usando un client HTTP come Axios, effettuare una chiamata all'URI dell'endpoint API con un token di accesso come Bearer di autorizzazione.

const axios = require('axios');

async function callApi(endpoint, accessToken) {

    const options = {
        headers: {
            Authorization: `Bearer ${accessToken}`
        }
    };

    console.log('request made to web API at: ' + new Date().toString());

    try {
        const response = await axios.default.get(endpoint, options);
        return response.data;
    } catch (error) {
        console.log(error)
        return error;
    }
};

endpoint = "url to the API"
http_headers = {'Authorization': 'Bearer ' + result['access_token'],
                'Accept': 'application/json',
                'Content-Type': 'application/json'}
data = requests.get(endpoint, headers=http_headers, stream=False).json()

Proprietà AuthenticationResult in MSAL.NET

I metodi per acquisire i token restituiscono AuthenticationResult. Per i metodi asincroni, restituisce Task<AuthenticationResult>.

In MSAL.NET, AuthenticationResult espone:

• AccessToken per l’API Web per accedere alle risorse. Questo parametro è una stringa, in genere un token JWT con codifica Base 64. Il client non deve mai guardare all'interno del token di accesso. Non è garantito che il formato rimanga stabile e può essere crittografato per la risorsa. La scrittura di codice dipendente dal contenuto del token di accesso nel client è una delle principali fonti di errori e interruzioni per la logica client. Per altre informazioni, vedere la pagina relativa ai Token di accesso.
• IdToken per l'utente. Questo parametro è un token JWT codificato. Per ulteriori informazioni, vedere ID token.
• ExpiresOn indica la data e l'ora di scadenza del token.
• TenantId contiene il tenant in cui è stato trovato l'utente. Per gli utenti guest negli scenari Microsoft Entra B2B, l'ID tenant è quello del tenant ospite, non del tenant univoco. Quando il token viene recapitato per un utente, AuthenticationResult contiene anche informazioni su questo utente. Per i flussi client riservati in cui vengono richiesti token senza utente per l'applicazione, queste informazioni sull'utente sono null.
• Il Scopes per cui è stato emesso il token.
• ID univoco per l'utente.

IAccount

MSAL.NET definisce la nozione di un account tramite l'interfaccia IAccount. Questo cambiamento radicale offre la corretta semantica. Lo stesso utente può avere più account in diverse directory di Microsoft Entra. MSAL.NET offre inoltre informazioni più complete negli scenari guest, perché sono disponibili informazioni sull'account principale. Il diagramma seguente illustra la struttura dell'interfaccia IAccount.

La classe AccountId identifica un account in un tenant specifico con le proprietà illustrate nella tabella seguente.

L'interfaccia IAccount rappresenta informazioni su un singolo account. Lo stesso utente può essere presente in tenant diversi, cioè un utente può avere più account. I relativi membri sono illustrati nella tabella seguente.

Usare il token per chiamare un'API protetta

Dopo che AuthenticationResult è stato restituito da MSAL in result, aggiungerlo all'intestazione di autorizzazione HTTP prima di effettuare la chiamata per accedere all'API Web protetta.

httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);
...