使用Azure Rest API获得Access Token介绍

背景

本文主要介绍如何获取如何获取Azure Rest API的访问token，所采用的是v2.0版本的Microsoft标识平台，关于1.0和2.0的区别可以参考 https://docs.azure.cn/zh-cn/active-directory/azuread-dev/azure-ad-endpoint-comparison 此文档

原理

采用的是OAuth2.0协议的客户端凭据授予的方式，即直接使用client id和secret获取令牌。

步骤

1.新建AAD应用、，导航到Azure门户的AAD界面，选择应用注册，点击新注册。

按照下图填写信息，如果选择多租户是允许访问其他租户的应用，由于我们不涉及到登陆的内容，所以重定向URI无需填写。

2.按照下图的方式，授予AAD应用访问Azure管理服务API权限：

3.接下来授予AAD 应用服务的访问权限，在相关服务的访问控制页面授予AAD应用参与者权限（建议赋予这更订阅的权限，这样可以操作所有应用）

4.收集AAD应用信息，需要租户id，client id，client secret。

进入AAD页面，按照下图方式生成密钥，并且保存密钥，该密钥为client secret

按照下图收集client id和租户id

5.发送token请求，标黄的部分需要填写上个步骤获取的信息：

curl --location --request POST 'https://login.partner.microsoftonline.cn/租户ID/oauth2/v2.0/token ' \

--form 'grant_type=client_credentials' \

--form 'client_id=client id \

--form 'client_secret=client secret' \

--form 'scope=https://management.chinacloudapi.cn/.default'

测试截图：

附：

也可以使用账户名和密码的方式获取token，但是极不推荐这种方式，因为这种方式是最不安全的，如果想要了解的话可以参考此博客 https://www.cnblogs.com/fenwan/p/7884202.html

参考文档：

https://docs.microsoft.com/zh-cn/rest/api/azure/#register-your-client-application-with-azure-ad

https://docs.azure.cn/zh-cn/active-directory/develop/v2-oauth2-client-creds-grant-flow#get-a-token

https://docs.azure.cn/zh-cn/active-directory/develop/v2-overview

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html