Cómo recuperar y utilizar tokens de acceso a Graph API para enviar correos electrónicos en C#

Mia Chevalier
Miércoles, 4 de diciembre de 2024, 11:39:00
Azure

Simplificación de la recuperación de tokens de acceso para Microsoft Graph API

¿Alguna vez se ha enfrentado al inconveniente de recuperar manualmente un token de acceso de Graph Explorer todos los días? Puede resultar frustrante, especialmente cuando forma parte de un equipo ocupado que depende de la automatización para enviar correos electrónicos a través de la API de Microsoft Graph. El proceso manual puede convertirse rápidamente en un obstáculo para la productividad. 🤔

En un intento por simplificar esto, decidí crear una función de Azure que recupere automáticamente el token de acceso de mi equipo. Esta solución elimina la necesidad de realizar tareas repetitivas y garantiza que todos puedan concentrarse en su trabajo principal en lugar de en la gestión de tokens. ¡Es como darle a tu flujo de trabajo el impulso de cafeína que tanto necesitas! ☕

Sin embargo, como la mayoría de los viajes de desarrollo, éste no estuvo exento de desafíos. A pesar de generar un token con éxito, me encontré con un obstáculo: el token devuelto por mi función no coincidía con el de Graph Explorer. Esta discrepancia inesperada planteó varias preguntas sobre su validez y funcionalidad.

En este artículo, compartiré el código que utilicé, los problemas que encontré y los pasos que seguí para solucionar el problema. Ya sea que esté creando una funcionalidad similar o simplemente tenga curiosidad acerca de Azure y Graph API, esta guía lo guiará a través del proceso con información práctica y ejemplos relacionados. ¡Vamos a sumergirnos! 🚀

Dominio Ejemplo de uso
FormUrlEncodedContent Este comando de C# se utiliza para crear un cuerpo de solicitud para solicitudes POST con datos codificados en formato application/x-www-form-urlencoded. Simplifica el paso de pares clave-valor a API que requieren este formato.
HttpResponseMessage Representa la respuesta recibida de una solicitud HTTP en C#. Le permite verificar el estado, los encabezados y el contenido de la respuesta del servidor.
EnsureSuccessStatusCode Un método que garantiza que el código de estado de respuesta HTTP sea exitoso (2xx). De lo contrario, genera una excepción, lo que simplifica el manejo de errores.
JsonConvert.DeserializeObject<T> Este método Newtonsoft.Json se utiliza para analizar cadenas JSON en objetos C# o tipos dinámicos. Es fundamental para extraer el token de acceso de las respuestas de la API.
os.getenv Un método de Python que recupera variables de entorno. Es esencial para acceder de forma segura a datos confidenciales, como ID de clientes y secretos.
requests.post Un método de Python para enviar solicitudes HTTP POST. Se usa aquí para llamar al punto final del token de la API de Microsoft Graph con la carga útil necesaria.
raise Exception Un comando de Python para generar excepciones explícitamente cuando se producen errores. Esto se utiliza para el manejo de errores en caso de que la respuesta de la API no sea exitosa.
Environment.GetEnvironmentVariable Este método de C# recupera variables de entorno. Proporciona una forma segura de acceder a las credenciales sin codificarlas en el código fuente.
dynamic Una palabra clave de C# que permite la creación de objetos cuyo tipo se resuelve en tiempo de ejecución. Útil para manejar respuestas JSON con estructuras impredecibles.
httpClient.PostAsync Un método de C# para enviar solicitudes POST HTTP asincrónicas. Se utiliza aquí para llamar al punto final del token de Microsoft Identity.

Comprensión y optimización de la recuperación de tokens de Graph API

Para automatizar el proceso de envío de correos electrónicos mediante Microsoft Graph API, el primer script demuestra cómo recuperar un token de acceso mediante el flujo de credenciales de cliente en C#. Esto es especialmente útil al crear aplicaciones o servicios del lado del servidor, como una función de Azure, donde no se requiere interacción del usuario. El script recupera de forma segura el token mediante el uso de variables de entorno para almacenar datos confidenciales, como `ClientId`, `ClientSecret` y `TenantId`. Esto garantiza la seguridad al evitar credenciales codificadas en el código fuente.

El núcleo de la solución gira en torno a la clase `FormUrlEncodedContent`, que crea la carga útil de la solicitud en el formato requerido para la autenticación. Una vez que la carga útil está lista, el método `httpClient.PostAsync` envía una solicitud HTTP POST al punto final del token de identidad de Microsoft. Esta llamada garantiza que la aplicación pueda recuperar mediante programación un token válido, que luego se puede usar para acceder a recursos como Microsoft Graph API para enviar correos electrónicos o administrar datos.

El ejemplo de Python complementa el script de C# proporcionando una alternativa ligera para la recuperación de tokens. Al aprovechar el método `os.getenv`, extrae credenciales confidenciales directamente del entorno, de forma muy parecida al script C#. La función `requests.post` realiza la llamada al punto final del token, simplificando el proceso para los desarrolladores más familiarizados con Python. Ambos scripts incluyen un manejo sólido de errores con `response.EnsureSuccessStatusCode` (C#) y generación de excepciones explícitas (`raise Exception`) en Python para gestionar problemas como fallas de autenticación o errores de API.

Un ejemplo de la vida real de la aplicación de estos scripts sería un sistema de notificación de equipo que envía correos electrónicos a los miembros del equipo sobre eventos críticos, como próximas fechas límite o interrupciones del servicio. En lugar de iniciar sesión en Graph Explorer diariamente para recuperar tokens manualmente, estos scripts automatizan el proceso, lo que reduce el error humano y aumenta la eficiencia. 🚀 Esta automatización no solo ahorra tiempo, sino que también garantiza que el sistema funcione sin problemas, incluso fuera del horario laboral. Ya sea que elija C# por su integración con soluciones de nivel empresarial o Python por su simplicidad, ambos enfoques abordan el problema central de manera efectiva. 😊

Recuperar tokens de acceso para Microsoft Graph API en C#

Esta solución utiliza un script de backend modular y seguro en C# para recuperar y manejar tokens de API de Microsoft Graph mediante programación.

// Import necessary namespaces
using System;
using System.Net.Http;
using System.Threading.Tasks;
using System.Collections.Generic;
using Newtonsoft.Json;
using Microsoft.Extensions.Logging;
namespace GraphApiTokenFetcher
{
    public class TokenService
    {
        private static readonly HttpClient httpClient = new HttpClient();
        // Fetch access token using Client Credentials flow
        public static async Task<string> GetGraphAccessTokenAsync(ILogger log)
        {
            try
            {
                // Retrieve environment variables
                var clientId = Environment.GetEnvironmentVariable("ClientId");
                var clientSecret = Environment.GetEnvironmentVariable("ClientSecret");
                var tenantId = Environment.GetEnvironmentVariable("TenantId");
                var tokenEndpoint = $"https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token";
                // Prepare the request body
                var body = new FormUrlEncodedContent(new[]
                {
                    new KeyValuePair<string, string>("client_id", clientId),
                    new KeyValuePair<string, string>("scope", "https://graph.microsoft.com/.default"),
                    new KeyValuePair<string, string>("client_secret", clientSecret),
                    new KeyValuePair<string, string>("grant_type", "client_credentials")
                });
                // Make the HTTP POST request
                HttpResponseMessage response = await httpClient.PostAsync(tokenEndpoint, body);
                response.EnsureSuccessStatusCode();
                // Read and parse the response
                string responseContent = await response.Content.ReadAsStringAsync();
                var tokenResult = JsonConvert.DeserializeObject<dynamic>(responseContent);
                return tokenResult.access_token;
            }
            catch (Exception ex)
            {
                log.LogError($"Error fetching Graph API token: {ex.Message}");
                throw;
            }
        }
    }
}

Prueba de recuperación de tokens con una secuencia de comandos de Python simple

Este enfoque demuestra cómo recuperar y verificar el token con Python usando la biblioteca `solicitudes` para una solución de backend alternativa.

# Import required libraries
import os
import requests
import json
# Function to fetch access token
def get_graph_access_token():
    client_id = os.getenv("ClientId")
    client_secret = os.getenv("ClientSecret")
    tenant_id = os.getenv("TenantId")
    token_endpoint = f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token"
    # Prepare request payload
    payload = {
        "client_id": client_id,
        "client_secret": client_secret,
        "scope": "https://graph.microsoft.com/.default",
        "grant_type": "client_credentials"
    }
    # Send the POST request
    response = requests.post(token_endpoint, data=payload)
    if response.status_code == 200:
        return response.json().get("access_token")
    else:
        raise Exception(f"Failed to retrieve token: {response.text}")
# Retrieve and print token
if __name__ == "__main__":
    try:
        token = get_graph_access_token()
        print("Access Token:", token)
    except Exception as e:
        print("Error:", str(e))

Superar los desafíos en la validación de tokens de Graph API

Cuando trabajan con Microsoft Graph API, un desafío crítico que a menudo enfrentan los desarrolladores es garantizar la validez y alcance del token de acceso. Si bien recuperar un token mediante el flujo de Credenciales de cliente es sencillo, su usabilidad depende de los permisos otorgados a la aplicación en Azure AD. Un descuido común es no configurar correctamente los permisos de API, lo que genera errores al usar el token para enviar correos electrónicos o realizar otras acciones.

Otra consideración importante es comprender la diferencia entre los tokens recuperados a través del Graph Explorer y los tokens generados mediante programación. Los tokens de Graph Explorer generalmente están vinculados al contexto de un usuario y sus permisos específicos, mientras que los tokens programáticos que utilizan el flujo de Credenciales del cliente tienen un alcance de aplicación. Esta distinción explica por qué los tokens devueltos pueden no coincidir, incluso si las configuraciones subyacentes parecen similares.

Para solucionar estas discrepancias, debe verificar que la aplicación tenga los permisos delegados Mail.Send o equivalentes necesarios en Azure Portal. Además, inspeccionar la carga útil del token decodificado utilizando una herramienta como [JWT.io](https://jwt.io) puede ayudar a identificar afirmaciones faltantes o incorrectas, como "scp" (alcance) o "roles". Un escenario del mundo real en el que esto sería fundamental es la automatización de la entrega masiva de correos electrónicos para notificaciones a los clientes. Sin las configuraciones adecuadas, el sistema podría fallar durante la producción, afectando la comunicación con el cliente. Seguir estos pasos garantiza una integración perfecta y genera confiabilidad en su solución. 😊

  1. ¿Por qué mi token no coincide con el de Graph Explorer?
  2. Los tokens recuperados mediante programación utilizan el , que limita los permisos de la aplicación, a diferencia de los tokens basados ​​en el usuario de Graph Explorer.
  3. ¿Cuál es el papel del parámetro en solicitudes de token?
  4. El especifica el nivel de acceso a la API, como , asegurando los permisos de acceso adecuados.
  5. ¿Cómo puedo decodificar un token de acceso?
  6. Utilice herramientas como para inspeccionar la carga útil de su token en busca de reclamos, como "scp" o "roles", para validar permisos.
  7. ¿Por qué recibo una respuesta de "Solicitud incorrecta" cuando uso mi token?
  8. Asegúrese de que su aplicación tenga lo requerido (p.ej., ) configurado en Azure AD y concedido el consentimiento del administrador.
  9. ¿Puedo actualizar el token automáticamente?
  10. Sí, puedes recuperar mediante programación un nuevo token cuando caduque usando el , evitando la necesidad de intervención manual.

Al automatizar la recuperación de tokens para el , los desarrolladores pueden ahorrar tiempo y garantizar procesos seguros y sin errores. Este método es particularmente útil para aplicaciones del lado del servidor que necesitan acceso confiable a recursos sin intervención manual. 😊

Comprender los alcances, los permisos y las diferencias de los tokens entre los tokens de usuario y de aplicación es fundamental para el éxito. Con estos conocimientos, puede implementar con confianza flujos de trabajo eficientes, minimizando las interrupciones y mejorando la productividad de su equipo u organización.

  1. guía completa sobre Autenticación de la API de Microsoft Graph que cubre el flujo, los alcances y los permisos de las credenciales del cliente.
  2. Documentación oficial sobre Uso de HttpClient en .NET , incluidos ejemplos de solicitudes HTTP asincrónicas.
  3. Perspectivas de JWT.io para decodificar y validar tokens web JSON (JWT) utilizados en la autenticación de Microsoft Graph API.
  4. Tutorial detallado sobre Registros de aplicaciones de Azure Active Directory para configurar permisos de API y secretos de cliente.