将 KeyVaultClient 与 MSAL 令牌“未经授权”结合使用

2024-04-02

桌面应用程序如何使用 Azure AD 读取 KeyVault 机密？

我能够获取 MSAL 令牌，但将其交给 KeyVaultClient 始终会导致：

Microsoft.Azure.KeyVault.Models.KeyVaultErrorException：操作返回无效的状态代码“未经授权”

我什至不确定 KeyVault 支持这种令牌，但在我的 Google 搜索中，我看到了使用旧 ADAL 令牌的示例。

我的 KeyVault 具有针对我的 Azure AD 帐户和我所属组的访问策略。

我从 MSAL 获取的 JWT 令牌的有效负载具有以下范围：

"scp": "User.Read profile openid email"

这是一个 mcve：

public partial class MainWindow : Window
{
    private static string ClientId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx";
    public static PublicClientApplication PublicClientApp = new PublicClientApplication(ClientId);

    public MainWindow()
    {
        InitializeComponent();
    }

    private async void Button_Click(object sender, RoutedEventArgs e)
    {
        var secret = await GetKeyVaultSecret("TestSecret");
    }

    private async Task<string> GetKeyVaultSecret(string secretKey)
    {
        KeyVaultClient kvClient = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(AcquireMSALToken));

        try
        {
            var secretBundle = 
                await kvClient.GetSecretAsync("https://xxxxx.vault.azure.net/", 
                    secretKey, "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx");

            return secretBundle.Value;
        }
        catch (Exception ex)
        {
            MessageBox.Show(ex.ToString());
            return null;
        }
    }

    private static async Task<string> AcquireMSALToken(string authority, string resource, string scope)
    {
        string[] _scopes = new string[] { "user.read" };

        AuthenticationResult authResult = null;
        var app = PublicClientApp;
        var accounts = await app.GetAccountsAsync();

        try
        {
            authResult = await app.AcquireTokenSilentAsync(_scopes, accounts.FirstOrDefault());
            return authResult.AccessToken;
        }
        catch (MsalUiRequiredException)
        {
            try
            {
                authResult = await PublicClientApp.AcquireTokenAsync(_scopes);
                return authResult.AccessToken;
            }
            catch (MsalException) { throw; }
        }
        catch (Exception) { throw; }
    }
}

UPDATE

仅供参考，这可行，但我认为根据文档，这不是 AzureServiceTokenProvider 的用途。这让我相信 MSAL 令牌与 KeyVault 不兼容。我的感觉是它仅用于 MS Graph 调用。

using Microsoft.Azure.Services.AppAuthentication;

AzureServiceTokenProvider azureServiceTokenProvider = new AzureServiceTokenProvider();
var kvClient = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));


var secretBundle =  await kvClient.GetSecretAsync("https://xxxxxxxx.vault.azure.net/",
                    "TestSecret", "xxxxxxxxxxxxxxxxxxxxxxxxxxxxx");

return secretBundle.Value;

访问 Azure 密钥保管库的范围不正确。你应该使用

string[] _scopes = new string[] { "https://vault.azure.net/.default" };

您可以根据需要添加特定权限。

通常您需要完全限定每个范围，但 MS Graph API 是一个特例。它允许您使用“简短形式”，例如{user.read}.

您可以按照以下步骤向应用程序授予权限。

1.点击应用注册（预览）->点击您注册的应用程序。

2.点击API权限->点击添加权限。

3.选择Azure Key Vault。

4.单击API权限页面底部的授予管理员同意。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

c

WPF

Azure

azurekeyvault

azureadmsal

将 KeyVaultClient 与 MSAL 令牌“未经授权”结合使用的相关文章

从父类调用子类方法

a doStuff 方法是否可以在不编辑 A 类的情况下打印 B did stuff 如果是这样我该怎么做 class Program static void Main string args A a new A B b new B a
Newtonsoft JSON PreserveReferences处理自定义等于用法

我目前在使用 Newtonsoft Json 时遇到一些问题我想要的很简单将要序列化的对象与所有属性和子属性进行比较以确保相等我现在尝试创建自己的 EqualityComparer 但它仅与父对象的属性进行比较另外我尝试编写自己的
为什么#pragma optimize("", off)

我正在审查一个 C MFC 项目在某些文件的开头有这样一行 pragma optimize off 我知道这会关闭所有以下功能的优化但这样做的动机通常是什么我专门使用它来在一组特定代码中获得更好的调试信息并在优化的情况下编译应用程序
获取没有非标准端口的原始 url (C#)

第一个问题环境 MVC C AppHarbor Problem 我正在调用 openid 提供商并根据域生成绝对回调 url 在我的本地机器上如果我点击的话效果很好http localhost 12345 login Request
C 预处理器库

我的任务是开发源分析工具C程序并且我需要在分析本身之前预处理代码我想知道什么是最好的图书馆我需要一些重量轻便于携带的东西与其推出自己的为什么不使用cpp这是的一部分gcc suite http gcc gnu org onlin
增加在 Azure 上运行的 Dockerized ASP.NET Core 站点的最大上传大小限制？

以下是应用程序的架构使用 ASP NET Core 编写的 Web API Dockerfile 使用以下命令构建 Web 应用程序microsoft dotnet 2 1 sdk并使用执行 APImicrosoft dotnet asp
使用 System.Text.Json 即时格式化 JSON 流

我有一个未缩进的 Json 字符串例如 hash 123 id 456 我想缩进字符串并将其序列化为 JSON 文件天真地我可以使用缩进字符串Newtonsoft如下 using Newtonsoft Json Linq JToken
如何使现有 ARM 模板上的资源 API 版本保持最新？

我有一个现有的 Azure 模板它配置以下资源 Microsoft ClassicStorage StorageAccounts api version 2014 06 01 microsoft insights components a
Qt表格小部件，删除行的按钮

我有一个 QTableWidget 对于所有行我将一列的 setCellWidget 设置为按钮我想将此按钮连接到删除该行的函数我尝试了这段代码它不起作用因为如果我只是单击按钮我不会将当前行设置为按钮的行 ui gt table
clang 实例化后静态成员初始化

这样的代码可以用 GCC 编译但 clang 3 5 失败 include
Discord.net 无法在 Linux 上运行

我正在尝试让在 Linux VPS 上运行的 Discord net 中编码的不和谐机器人我通过单声道运行但我不断收到此错误 Unhandled Exception System Exception Connection lost at
将 xml 反序列化为类，list<> 出现问题

我有以下 XML
C - 直接从键盘缓冲区读取

这是C语言中的一个问题如何直接读取键盘缓冲区中的数据我想直接访问数据并将其存储在变量中变量应该是什么数据类型我需要它用于我们研究所目前正在开发的操作系统它被称为 ICS OS 我不太清楚具体细节它在 x86 32 位机器上运行
为什么 C# Math.Ceiling 向下舍入？

我今天过得很艰难但有些事情不太对劲在我的 C 代码中我有这样的内容 Math Ceiling decimal this TotalRecordCount this PageSize Where int TotalRecordCount
为什么我收到“找不到编译动态表达式所需的一种或多种类型。”？

我有一个已更新的项目 NET 3 5 MVC v2 到 NET 4 0 MVC v3 当我尝试使用或设置时编译出现错误 ViewBag Title财产找不到编译动态表达式所需的一种或多种类型您是否缺少对 Microsoft CSharp
const、span 和迭代器的问题

我尝试编写一个按索引迭代容器的迭代器 AIt and a const It两者都允许更改容器的内容 AConst it and a const Const it两者都禁止更改容器的内容之后我尝试写一个span
mysql-connector-c++ - “get_driver_instance”不是“sql::mysql”的成员

我是 C 的初学者我认为学习的唯一方法就是接触一些代码我正在尝试构建一个连接到 mysql 数据库的程序我在 Linux 上使用 g 没有想法我运行 make 这是我的错误 hello cpp 38 error get driver
如何使用 std::string 将所有出现的一个字符替换为两个字符？

有没有一种简单的方法来替换所有出现的 in a std string with 转义 a 中的所有斜杠std string 完成此操作的最简单方法可能是boost字符串算法库 http www boost org doc libs 1 46
使用 libcurl 检查 SFTP 站点上是否存在文件

我使用 C 和 libcurl 进行 SFTP FTPS 传输在上传文件之前我需要检查文件是否存在而不实际下载它如果该文件不存在我会遇到以下问题 set up curlhandle for the public private ke
恢复上传文件控制

我确实阅读了以下帖子 C 暂停恢复上传 https stackoverflow com questions 1048330 pause resume upload in c 使用 HTTP 恢复上传 https stackoverflow

随机推荐

使用命令式绑定时的 Azure Functions 测试

到目前为止我已经能够为 Azure Functions 设置单元测试并且效果很好然而对于我当前的项目我需要使用动态或命令式绑定 https learn microsoft com en us azure azure functio
SQL Server Management Studio 中的宏

有没有办法在SSMS中实现文本编辑宏我会例如喜欢将代码转换为如下所示但只需按键而不是冗长的正则表达式搜索和替换 This INSERT INTO TABLE fieldOne fieldTwo VALUES
Learning Swift：顶层不允许使用表达式

我正在学习斯威夫特我遇到了一个无法解决的问题 import UIKit func helloword str String print str helloword say I use helloword say 但 Xcode 告诉我错误
“int '对象不可下标”

我开始学习GEKKO 现在我正在解决一个 knapsak 问题来学习但是这次我收到错误 int object is not subscriptable 你能看一下这段代码吗问题的根源是什么我应该如何定义 1 10 矩阵 from g
SWI-Prolog - 显示长列表

我正在使用 SWI Prolog 我正在尝试打印一个列表但如果该列表有超过 9 个项目它看起来像那样 1 15 8 22 5 19 12 25 3 有没有办法显示整个列表看一下 http www swi prolog org FAQ
在 Yii 框架中配置数据库连接

在Yii框架的main php文件中有一些配置选项这就是mysql的设置方式 db gt array connectionString gt mysql host localhost dbname testdrive emulatePr
Pylint 警告：可能存在不平衡的元组按顺序解包

我有一段Python代码 def func1 a set b join map str list a return b def func2 d 1 e 2 return func1 d e def main a b c d func2 if
Swift 中具有共享 NSUserDefaults 的 KVO

我在通过通信 NSUserDefaults 更改在主机应用程序及其扩展之间进行通信时遇到问题我初始化了NSUserDefaults using init suiteName 添加 KVO 观察者使用addObserver 方法并覆盖该方法
Lombok 未在 Netbeans 项目中工作

我想在项目中使用Lombok来使用 Getter和 Setter 我包括使用 Maven
显示图像的片段中的内存问题

我正在使用片段来显示图像页面我有一个活动主要其中包含所有片段 package com example hscroll demo import android os Bundle import android preference P
为 POCO 实施 IEquatable

我注意到 EF 的 DbSet Add 非常慢谷歌搜索了一下找到了一个 SO 答案承诺性能提升高达 180 倍 https stackoverflow com a 7052504 141172 https stackoverflow
计算 SQL 中特定事件之前和之后的事件数量？

我有一个包含日期和事件的表有一个名为 A 的事件我想知道 Sql Bigquery 中事件 A 之前和之后发生了多少个事件例如 User Date Events 123 2018 02 13 D 123 2018 02 12 B 12
从网络数据抓取类返回数据？

我正在尝试创建一个类它可以让我从网络服务获取请求的数据我被困在如何返回值上 FooClass m DataGrabber is the class which is supposed to get values dataGrabber
R：使用矢量化按间隔分配值

让我们有一个数字向量 a lt round runif 20 1 5 0 1 3 5 4 2 1 2 3 4 5 2 我需要使用如下表为这些数字分配值 1 to 2 assign A 3 to 4 assign B 5 assign C 这
Ruby Mixins 和实例变量

是否有将参数传递给混合方法的最佳实践方法使用 mixin 的类可以设置混合方法期望的实例变量或者可以将所有必要的参数作为参数传递给混合方法背景是我们有一个 Rails 控制器来发布内容但其他控制器甚至模型都需要能够充当发布者所以
错误“来源：系统进程已退出，因此请求的信息不可用”

它在我的电脑上可以工作但是当我放入另一台机器时我收到错误源系统进程已退出因此请求的信息不可用并且 exe 没有出来有哪位有经验的兄弟可以帮忙吗赞赏 p New Process With p EnableRaisingEven
GooglePlayServices Admob 问题：“无法加载广告：0”

我对新的 admob 有疑问这是我的代码尝试在我的主要活动中创建和加载广告 private void createAndLoadAd String adUnitID RelativeLayout rlRoot View upperVie
如何创建在特定条件下对另一列进行计数的列？右

下面数据已被重新调整并列出了输入和预期输出 Data structure list record id c 110101 110101 110101 110101 110101 110101 110101 110101 110101 1
如何为 ruby on Rails 创建 .htaccess？

有谁知道创建 htaccess在铁轨上请指导我谢谢 regards 您只需在网站文档根目录中创建 htaccess 文件即可在 apache 中这将是您网站的文档根目录可能类似于 var www your website com
将 KeyVaultClient 与 MSAL 令牌“未经授权”结合使用

桌面应用程序如何使用 Azure AD 读取 KeyVault 机密我能够获取 MSAL 令牌但将其交给 KeyVaultClient 始终会导致 Microsoft Azure KeyVault Models KeyVaultErro

将 KeyVaultClient 与 MSAL 令牌“未经授权”结合使用

将 KeyVaultClient 与 MSAL 令牌“未经授权”结合使用 的相关文章

随机推荐

热门标签

将 KeyVaultClient 与 MSAL 令牌“未经授权”结合使用的相关文章