那些遇到过的问题

无法访问Azure上的OpenId UserInfo端点(AADSTS90010:JWT令牌不能与UserInfo端点一起使用)

wol*_*ger 0 azure office365 azure-active-directory openid-connect

我正在尝试使用以下GET访问Office365 Azure租户上的用户的OpenId UserInfo端点:

GET https://login.windows.net/common/openid/userinfo HTTP/1.1
Authorization: Bearer eyJ0eXAiOiJ(...remainder deleted for brevity...)
Host: login.windows.net
Run Code Online (Sandbox Code Playgroud)

响应失败,出现"400 Bad Request",更具体的错误"AADSTS50063:凭据解析失败.AADSTS90010:JWT令牌不能与UserInfo端点一起使用"

HTTP/1.1 400 Bad Request
Cache-Control: no-cache, no-store
Pragma: no-cache
Content-Type: text/html
Expires: -1
Server: Microsoft-IIS/8.5
x-ms-request-id: ef5c8a50-69b5-40f1-ac5f-9c0fc5180aa2
x-ms-gateway-service-instanceid: ESTSFE_IN_6
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000; includeSubDomains
P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"
WWW-Authenticate: Bearer correlation_id="e5c613a0-0a21-40e1-9ef6-    eacf77580608", error="invalid_request", error_codes="[50063, 90010]",     error_description="AADSTS50063: Credential parsing failed. AADSTS90010: JWT tokens cannot be used with the UserInfo endpoint.%0d%0aTrace ID: ef5c8a50-69b5-40f1-ac5f-9c0fc5180aa2%0d%0aCorrelation ID: e5c613a0-0a21-40e1-9ef6-eacf77580608%0d%0aTimestamp: 2015-02-20 14:13:42Z", timestamp="2015-02-20 14:13:42Z", trace_id="ef5c8a50-69b5-40f1-ac5f-9c0fc5180aa2"
Set-Cookie: x-ms-gateway-slice=productionb; path=/; secure; HttpOnly
Set-Cookie: stsservicecookie=ests; path=/; secure; HttpOnly
X-Powered-By: ASP.NET
Date: Fri, 20 Feb 2015 14:13:40 GMT
Content-Length: 0
Run Code Online (Sandbox Code Playgroud)

使用的承载令牌是一个非过期的访问令牌,适用于其他操作,例如检索Exchange电子邮件.

此外,当我在" https://www.googleapis.com/plus/v1/people/me/openIdConnect "(作为gmail访问方案的一部分)的openid userinfo端点使用相同的GET时,它工作正常

我在这里做错了吗?谢谢你的帮助!

一些额外的信息:

- 已经尝试过使用id_token而不是access_token,但这没什么区别.

- 使用的Oauth范围是"个人资料电子邮件"

- 请求的资源是" https://outlook.office365.com/ "

- 客户端应用程序是本机应用程序,并为"Windows Azure AD"和"Office 365 Exchange Online"启用了所有委派权限

dst*_*kis 8

Azure AD用户信息端点目前不支持使用常规JWT访问令牌.相反,您可以通过不在对令牌端点的请求中指定任何资源来获取特定于用户信息的访问令牌.您可以将用户信息端点视为一种资源,这需要一种特殊的令牌格式.

例如,在授权代码的情况下:

  • GET请求https://login.windows.net/common/oauth2/authorize?...没有resource参数,并获取authorization_code
  • POST请求https://login.windows.net/common/oauth2/token使用authorization_code,也没有resource参数.接收用户信息端点的访问令牌.
  • GET请求https://login.windows.net/common/openid/userinfo将标头中的访问令牌传递为Authorization: Bearer AAAB(...rest of token...)

  • 另请注意,当前通过用户信息端点提供的几乎所有信息都可在JWT令牌本身的声明中获得. (2认同)

归档时间:

查看次数:

7110 次

最近记录:

10 年,4 月 前
相关归档
将我的应用程序部署到Azure时出现问题 9
Azure WebSites或Azure云服务上的MVC4 API [错误]:'System.ComponentModel.DataAnnotations.Schema.DatabaseGeneratedOption' 7
是否可以将Entity Framework与Windows Azure开发存储服务一起使用? 6
MVC 5 - 无法从用法推断出方法"..."的类型参数.尝试显式指定类型参数 5
在 Azure 中,作为资源组贡献者,为什么我无法创建存储帐户?应该采取哪些措施来防止出现这种情况? 5
无法从Client访问IdentityServer4 doc示例中的UserInfo端点 5
图像大小太小Azure Face API Android 5
通过 R 连接到 Azure SQL 4
在桌面上以编程方式"侧载"Office for Office 2
使用应用程序令牌通过REST API调用Microsoft Graph 2
难疑归档
在'for'循环中访问索引? 3312
电话和申请有什么区别? 3012
Java中的public,protected,package-private和private有什么区别? 3004
提高SQLite的每秒INSERT性能? 2880
如何恢复Git中丢失的存储? 1617
如何为项目中的单个文件禁用ARC? 1332
从JS数组中删除重复值 1225
如何获得最近提交的Git分支列表? 1197
Objective-C中的快捷方式用于连接NSStrings 1114
如何查找Python中是否存在目录 1048