Office 365 Rest API - 守护程序周身份验证

我正在尝试建立一个Ruby用于访问 Office 365 Rest API 的守护程序服务。最近可以通过 OAuth 'client_credentials' 流程来做到这一点，如本博客文章所述：https://learn.microsoft.com/en-us/archive/blogs/exchangedev/building-daemon-or-service-apps-with-office-365-mail-calendar-and-contacts-apis-oauth2-client-凭证流 https://learn.microsoft.com/en-us/archive/blogs/exchangedev/building-daemon-or-service-apps-with-office-365-mail-calendar-and-contacts-apis-oauth2-client-credential-flow

我正在努力生成有效的访问令牌。令牌端点返回给我一个 JWT，但是当使用此令牌时，我收到了带有以下消息的 401：

访问令牌是使用身份验证方法获取的，该身份验证方法太弱，无法允许此应用程序访问。提供的身份验证强度为 1，所需的身份验证强度为 2

据我了解，client_credentials 流程要求您提供 X.509 证书，不幸的是，博客文章中的所有示例均适用于 C#。

我在请求令牌时使用生成的自签名证书和私钥来执行客户端断言。我按照博客文章中的步骤生成证书并更新清单以使用此证书。

这是供参考的 ruby​​ 代码：

def request_token
  uri = URI.parse("https://login.windows.net/== TENANT-ID ==/oauth2/token?api-version=1.0")
  https = Net::HTTP.new(uri.host, uri.port)

  req = Net::HTTP::Post.new(uri.request_uri)
  req.set_form_data(
    :grant_type    => 'client_credentials',
    :redirect_uri  => 'http://spready.dev',
    :resource      => 'https://outlook.office365.com/',
    :client_id     => '== Client ID ==',
    :client_secret => '== Client secret =='
  )

  https.use_ssl = true
  https.cert = client_cert
  https.key = client_key
  https.verify_mode = OpenSSL::SSL::VERIFY_PEER

  resp = https.start { |cx| cx.request(req) }

  @access_token = JSON.parse(resp.body)
end

显然，为了安全起见，我删除了某些信息。即使它是 ruby​​，您也可以看到我正在使用我的证书通过 SSL 连接来验证客户端。

以下是有关该错误的更多信息：

"x-ms-diagnostics" => "2000010;
    reason=\"The access token is acquired using an authentication method that is too weak to allow access for this application. Presented auth strength was 1, required is 2.\";
    error_category=\"insufficient_auth_strength\"", 
"x-diaginfo"=>"AM3PR01MB0662", 
"x-beserver"=>"AM3PR01MB0662"

任何帮助将不胜感激。

Edit

对于其他想要在 Ruby 中做类似事情的人来说，这里是我使用的代码要点：https://gist.github.com/NGMarmaduke/a088943edbe4e703129d https://gist.github.com/NGMarmaduke/a088943edbe4e703129d

该示例使用 Rails 环境，但删除 Rails 特定位应该相当容易。

请记住将 YOUR CLIENT ID、TENANT_ID 和 CERT_THUMBPRINT 替换为正确的值，并将证书路径和客户端密钥方法指向正确的文件路径。

然后你可以做这样的事情：

mailbox = OfficeAPI.new("[email protected] /cdn-cgi/l/email-protection")
messages = mailbox.request_messages

代替client_secret在您的请求正文中，您需要一个client_assertion。这有点复杂，但这就是您需要该证书的原因。

基本上，您需要构建一个 JSON Web 令牌，并使用 SHA256 哈希通过您的证书对其进行签名。令牌看起来像这样：

Header:

{ 
  "alg": "RS256",
  "x5t": "..." // THUMBPRINT of Cert
}

Payload:

{
  "aud": "https:\\/\\/login.windows.net\\/<The logged in user's tenant ID>\\/oauth2\\/token",
  "exp": 1423168488,
  "iss": "YOUR CLIENT ID",
  "jti": "SOME GUID YOU ASSIGN",
  "nbf": 1423167888,
  "sub": "YOUR CLIENT ID"
}

如果您仍然同意我的观点，您现在需要对这两部分（分别）进行 Base64 编码，然后用“.”将它们连接起来。所以现在你应该有：

base64_header.base64_payload

现在，您使用 SHA256 哈希获取该字符串并用您的证书对其进行签名。然后对结果进行 base64 编码，对其进行 url 编码，然后附加到字符串，所以现在您拥有：

base64_header.base64_payload.base64_signature

最后，将其包含在令牌端点的 POST 中，作为client_assertion参数，还包括一个client_assertion_type参数设置为“urn:ietf:params:oauth:client-assertion-type:jwt-bearer”：

req.set_form_data(
    :grant_type    => 'client_credentials',
    :redirect_uri  => 'http://spready.dev',
    :resource      => 'https://outlook.office365.com/',
    :client_id     => '== Client ID ==',
    :client_assertion_type => 'urn:ietf:params:oauth:client-assertion-type:jwt-bearer',
    :client_assertion => 'base64_header.base64_payload.base64_signature'
  )

我希望这有帮助！这都是基于我的研究ADAL https://github.com/AzureAD/azure-activedirectory-library-for-dotnet确实如此，而且我还没有在 Ruby 中亲自测试过。