我正在尝试建立一个Ruby用于访问 Office 365 Rest API 的守护程序服务。最近可以通过 OAuth 'client_credentials' 流程来做到这一点,如本博客文章所述:https://learn.microsoft.com/en-us/archive/blogs/exchangedev/building-daemon-or-service-apps-with-office-365-mail-calendar-and-contacts-apis-oauth2-client-凭证流 https://learn.microsoft.com/en-us/archive/blogs/exchangedev/building-daemon-or-service-apps-with-office-365-mail-calendar-and-contacts-apis-oauth2-client-credential-flow
我正在努力生成有效的访问令牌。令牌端点返回给我一个 JWT,但是当使用此令牌时,我收到了带有以下消息的 401:
访问令牌是使用身份验证方法获取的,该身份验证方法太弱,无法允许此应用程序访问。提供的身份验证强度为 1,所需的身份验证强度为 2
据我了解,client_credentials 流程要求您提供 X.509 证书,不幸的是,博客文章中的所有示例均适用于 C#。
我在请求令牌时使用生成的自签名证书和私钥来执行客户端断言。我按照博客文章中的步骤生成证书并更新清单以使用此证书。
这是供参考的 ruby 代码:
def request_token
uri = URI.parse("https://login.windows.net/== TENANT-ID ==/oauth2/token?api-version=1.0")
https = Net::HTTP.new(uri.host, uri.port)
req = Net::HTTP::Post.new(uri.request_uri)
req.set_form_data(
:grant_type => 'client_credentials',
:redirect_uri => 'http://spready.dev',
:resource => 'https://outlook.office365.com/',
:client_id => '== Client ID ==',
:client_secret => '== Client secret =='
)
https.use_ssl = true
https.cert = client_cert
https.key = client_key
https.verify_mode = OpenSSL::SSL::VERIFY_PEER
resp = https.start { |cx| cx.request(req) }
@access_token = JSON.parse(resp.body)
end
显然,为了安全起见,我删除了某些信息。即使它是 ruby,您也可以看到我正在使用我的证书通过 SSL 连接来验证客户端。
以下是有关该错误的更多信息:
"x-ms-diagnostics" => "2000010;
reason=\"The access token is acquired using an authentication method that is too weak to allow access for this application. Presented auth strength was 1, required is 2.\";
error_category=\"insufficient_auth_strength\"",
"x-diaginfo"=>"AM3PR01MB0662",
"x-beserver"=>"AM3PR01MB0662"
任何帮助将不胜感激。
Edit
对于其他想要在 Ruby 中做类似事情的人来说,这里是我使用的代码要点:https://gist.github.com/NGMarmaduke/a088943edbe4e703129d https://gist.github.com/NGMarmaduke/a088943edbe4e703129d
该示例使用 Rails 环境,但删除 Rails 特定位应该相当容易。
请记住将 YOUR CLIENT ID、TENANT_ID 和 CERT_THUMBPRINT 替换为正确的值,并将证书路径和客户端密钥方法指向正确的文件路径。
然后你可以做这样的事情:
mailbox = OfficeAPI.new("[email protected] /cdn-cgi/l/email-protection")
messages = mailbox.request_messages