Как получить и использовать токены доступа API Graph для отправки электронных писем на C#

Как получить и использовать токены доступа API Graph для отправки электронных писем на C#
Как получить и использовать токены доступа API Graph для отправки электронных писем на C#
Mia Chevalier
среда, 4 декабря 2024 г., 13:21:17

Оптимизация получения токена доступа для API Microsoft Graph

Вы когда-нибудь сталкивались с неудобствами, связанными с ежедневным получением токена доступа вручную из Graph Explorer? Это может быть неприятно, особенно если вы являетесь частью загруженной команды, которая полагается на автоматизацию отправки электронных писем через Microsoft Graph API. Ручной процесс может быстро стать узким местом производительности. 🤔

Чтобы упростить задачу, я решил создать функцию Azure, которая автоматически получает токен доступа для моей команды. Это решение устраняет необходимость в повторяющихся задачах и гарантирует, что каждый сможет сосредоточиться на своей основной работе, а не на управлении токенами. Это все равно, что придать вашему рабочему процессу столь необходимый заряд кофеина! ☕

Однако, как и большинство проектов развития, этот не обошёлся без проблем. Несмотря на успешную генерацию токена, я столкнулся с препятствием: токен, возвращаемый моей функцией, не соответствовал токену из Graph Explorer. Это неожиданное несоответствие вызвало несколько вопросов о его обоснованности и функциональности.

В этой статье я поделюсь использованным кодом, проблемами, с которыми столкнулся, и шагами, которые я предпринял для устранения проблемы. Независимо от того, создаете ли вы аналогичную функциональность или просто интересуетесь API Azure и Graph, это руководство проведет вас через этот процесс, предоставив практические идеи и соответствующие примеры. Давайте погрузимся! 🚀

Команда Пример использования
FormUrlEncodedContent Эта команда C# используется для создания тела запроса POST с данными, закодированными в формате application/x-www-form-urlencoded. Это упрощает передачу пар ключ-значение в API, которым требуется этот формат.
HttpResponseMessage Представляет ответ, полученный на HTTP-запрос на C#. Он позволяет вам проверять статус, заголовки и содержимое ответа сервера.
EnsureSuccessStatusCode Метод, который гарантирует успешный код состояния ответа HTTP (2xx). В противном случае он генерирует исключение, упрощая обработку ошибок.
JsonConvert.DeserializeObject<T> Этот метод Newtonsoft.Json используется для анализа строк JSON в объекты C# или динамические типы. Это очень важно для извлечения токена доступа из ответов API.
os.getenv Метод Python, который извлекает переменные среды. Это важно для безопасного доступа к конфиденциальным данным, таким как идентификаторы клиентов и секреты.
requests.post Метод Python для отправки запросов HTTP POST. Здесь он используется для вызова конечной точки токена API Microsoft Graph с необходимой полезной нагрузкой.
raise Exception Команда Python для явного вызова исключений при возникновении ошибок. Это используется для обработки ошибок в случае неуспешного ответа API.
Environment.GetEnvironmentVariable Этот метод C# извлекает переменные среды. Он обеспечивает безопасный способ доступа к учетным данным без их жесткого кодирования в исходном коде.
dynamic Ключевое слово C#, позволяющее создавать объекты, тип которых определяется во время выполнения. Полезно для обработки ответов JSON с непредсказуемыми структурами.
httpClient.PostAsync Метод C# для отправки асинхронных запросов HTTP POST. Здесь он используется для вызова конечной точки токена Microsoft Identity.

Понимание и оптимизация получения токенов Graph API

Чтобы автоматизировать процесс отправки электронных писем с помощью API Microsoft Graph, первый скрипт демонстрирует, как получить токен доступа с помощью Потока учетных данных клиента на C#. Это особенно полезно при создании серверных приложений или служб, таких как функция Azure, где взаимодействие с пользователем не требуется. Скрипт безопасно извлекает токен, используя переменные среды для хранения конфиденциальных данных, например ClientId, ClientSecret и TenantId. Это обеспечивает безопасность за счет отсутствия жестко запрограммированных учетных данных в исходном коде.

Ядро решения основано на классе FormUrlEncodedContent, который создает полезную нагрузку запроса в формате, необходимом для аутентификации. Как только полезные данные будут готовы, метод httpClient.PostAsync отправляет HTTP-запрос POST в конечную точку токена Microsoft Identity. Этот вызов гарантирует, что приложение сможет программно получить действительный токен, который затем можно будет использовать для доступа к ресурсам, таким как API Microsoft Graph, для отправки электронных писем или управления данными.

Пример Python дополняет сценарий C#, предоставляя упрощенную альтернативу извлечению токенов. Используя метод os.getenv, он извлекает конфиденциальные учетные данные непосредственно из среды, подобно сценарию C#. Функция Requests.post выполняет вызов конечной точки токена, упрощая процесс для разработчиков, более знакомых с Python. Оба сценария включают надежную обработку ошибок с помощью `response.EnsureSuccessStatusCode` (C#) и явный вызов исключений ("raise Exception") в Python для управления такими проблемами, как сбои аутентификации или ошибки API.

Одним из реальных примеров применения этих сценариев может быть система уведомлений команды, которая отправляет членам команды электронные письма о критических событиях, таких как предстоящие сроки или перебои в обслуживании. Вместо ежедневного входа в Graph Explorer для получения токенов вручную эти сценарии автоматизируют процесс, уменьшая количество человеческих ошибок и повышая эффективность. 🚀 Такая автоматизация не только экономит время, но и обеспечивает бесперебойную работу системы даже в нерабочее время. Независимо от того, выбираете ли вы C# из-за его интеграции с решениями корпоративного уровня или Python из-за его простоты, оба подхода эффективно решают основную проблему. 😊

Получение токенов доступа для API Microsoft Graph на C#

В этом решении используется модульный и безопасный внутренний скрипт на C# для программного получения и обработки токенов API Microsoft Graph.

// Import necessary namespaces
using System;
using System.Net.Http;
using System.Threading.Tasks;
using System.Collections.Generic;
using Newtonsoft.Json;
using Microsoft.Extensions.Logging;
namespace GraphApiTokenFetcher
{
    public class TokenService
    {
        private static readonly HttpClient httpClient = new HttpClient();
        // Fetch access token using Client Credentials flow
        public static async Task<string> GetGraphAccessTokenAsync(ILogger log)
        {
            try
            {
                // Retrieve environment variables
                var clientId = Environment.GetEnvironmentVariable("ClientId");
                var clientSecret = Environment.GetEnvironmentVariable("ClientSecret");
                var tenantId = Environment.GetEnvironmentVariable("TenantId");
                var tokenEndpoint = $"https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token";
                // Prepare the request body
                var body = new FormUrlEncodedContent(new[]
                {
                    new KeyValuePair<string, string>("client_id", clientId),
                    new KeyValuePair<string, string>("scope", "https://graph.microsoft.com/.default"),
                    new KeyValuePair<string, string>("client_secret", clientSecret),
                    new KeyValuePair<string, string>("grant_type", "client_credentials")
                });
                // Make the HTTP POST request
                HttpResponseMessage response = await httpClient.PostAsync(tokenEndpoint, body);
                response.EnsureSuccessStatusCode();
                // Read and parse the response
                string responseContent = await response.Content.ReadAsStringAsync();
                var tokenResult = JsonConvert.DeserializeObject<dynamic>(responseContent);
                return tokenResult.access_token;
            }
            catch (Exception ex)
            {
                log.LogError($"Error fetching Graph API token: {ex.Message}");
                throw;
            }
        }
    }
}

Тестирование получения токена с помощью простого скрипта Python

Этот подход демонстрирует получение и проверку токена с помощью Python с использованием библиотеки запросов в качестве альтернативного серверного решения.

# Import required libraries
import os
import requests
import json
# Function to fetch access token
def get_graph_access_token():
    client_id = os.getenv("ClientId")
    client_secret = os.getenv("ClientSecret")
    tenant_id = os.getenv("TenantId")
    token_endpoint = f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token"
    # Prepare request payload
    payload = {
        "client_id": client_id,
        "client_secret": client_secret,
        "scope": "https://graph.microsoft.com/.default",
        "grant_type": "client_credentials"
    }
    # Send the POST request
    response = requests.post(token_endpoint, data=payload)
    if response.status_code == 200:
        return response.json().get("access_token")
    else:
        raise Exception(f"Failed to retrieve token: {response.text}")
# Retrieve and print token
if __name__ == "__main__":
    try:
        token = get_graph_access_token()
        print("Access Token:", token)
    except Exception as e:
        print("Error:", str(e))

Преодоление проблем при проверке токенов Graph API

При работе с Microsoft Graph API разработчики часто сталкиваются с одной из важнейших задач — обеспечение действительности и области действия токена доступа. Хотя получить токен с помощью потока учетных данных клиента несложно, его удобство использования зависит от разрешений, предоставленных приложению в Azure AD. Распространенной ошибкой является неправильная настройка разрешений API, что приводит к ошибкам при использовании токена для отправки электронных писем или выполнения других действий.

Еще одним важным моментом является понимание разницы между токенами, полученными с помощью Graph Explorer, и токенами, созданными программным путем. Токены Graph Explorer обычно привязаны к контексту пользователя и его конкретным разрешениям, тогда как программные токены, использующие поток учетных данных клиента, относятся к области приложения. Это различие объясняет, почему возвращаемые токены могут не совпадать, даже если базовые конфигурации кажутся похожими.

Чтобы устранить эти несоответствия, следует убедиться, что приложение имеет необходимые Mail.Send или эквивалентные делегированные разрешения на портале Azure. Кроме того, проверка полезных данных декодированного токена с помощью такого инструмента, как [JWT.io](https://jwt.io), может помочь выявить отсутствующие или неправильные утверждения, такие как `scp` (область действия) или `роли`. Реальный сценарий, в котором это может иметь решающее значение, — это автоматизация массовой доставки уведомлений по электронной почте для клиентов. Без правильной конфигурации система может выйти из строя во время производства, что повлияет на взаимодействие с клиентами. Выполнение этих шагов обеспечит плавную интеграцию и повысит надежность вашего решения. 😊

Наиболее распространенные вопросы о получении и использовании токенов Graph API

  1. Почему мой токен не соответствует токену из Graph Explorer?
  2. Токены, полученные программным способом, используют Client Credentials flow, который ограничивает разрешения для приложения, в отличие от пользовательских токенов Graph Explorer.
  3. Какова роль scope параметр в запросах токенов?
  4. scope указывает уровень доступа к API, например https://graph.microsoft.com/.default, обеспечивая надлежащие права доступа.
  5. Как я могу расшифровать токен доступа?
  6. Используйте такие инструменты, как JWT.io для проверки полезных данных вашего токена на наличие утверждений, таких как `scp` или `roles`, для проверки разрешений.
  7. Почему я получаю ответ «Неверный запрос» при использовании токена?
  8. Убедитесь, что ваше приложение имеет необходимые API permissions (например., Mail.Send), настроенный в Azure AD и получивший согласие администратора.
  9. Могу ли я обновить токен автоматически?
  10. Да, вы можете программно получить новый токен по истечении срока его действия, используя метод Client Credentials flow, минуя необходимость ручного вмешательства.

Заключительные мысли об автоматизации получения токенов

Автоматизируя получение токенов для Графический API, разработчики могут сэкономить время и обеспечить безопасные и безошибочные процессы. Этот метод особенно полезен для серверных приложений, которым необходим надежный доступ к ресурсам без ручного вмешательства. 😊

Понимание областей действия токенов, разрешений и различий между токенами пользователя и приложения имеет решающее значение для успеха. Благодаря этим знаниям вы можете уверенно внедрять эффективные рабочие процессы, сводя к минимуму сбои и повышая производительность вашей команды или организации.

Источники и ссылки для получения токенов API Microsoft Graph
  1. Подробное руководство по Аутентификация API Microsoft Graph охватывающий поток учетных данных клиента, области действия и разрешения.
  2. Официальная документация по Использование HttpClient в .NET , включая примеры асинхронных HTTP-запросов.
  3. Информация из JWT.io для декодирования и проверки веб-токенов JSON (JWT), используемых в аутентификации API Microsoft Graph.
  4. Подробный мастер-класс по Регистрация приложений Azure Active Directory для настройки разрешений API и секретов клиента.