Microsoft Graph for Office 365 - 身份验证路线图和访问令牌

博客地址：http://blog.csdn.net/FoxDave
本篇我们介绍并展望Microsoft Graph的身份验证状况，特别是获取访问令牌的部分。

任何对Microsoft Graph的请求都需要进行正确地认证，即包括一个访问令牌。Microsoft Graph中的访问令牌是一个base 64编码的JSON web token (JWT)，它必须通过Azure AD给出。

对于Azure AD有两个主要的认证流程：

用户代理 (app+user)
仅应用程序 (app-only)

总体步骤如下：

在Azure AD中注册应用程序
配置/授予权限
获取访问令牌
使用访问令牌调用Microsoft Graph

在后续的文章中我们还会对这些步骤进行详细的介绍。
既然我们要去获取访问令牌，我们先讨论一下Microsoft Graph身份认证的现在和未来。注意我们介绍的内容中有一些元素目前在支持生产环境的预览版库中。

目前状态

由于目前有多个门户可以注册应用程序，继而有多套客户端SDK，多个Azure AD终结点，Microsoft Graph的身份认证包含了一些决策。了解我们的目标受众是一个关键的决策点，因为它影响了我们可以使用或不可以使用哪些组件。微软推荐我们从相对新的MSAL和Azure AD v2版本的终结点开始。ADAL和v1版本的终结点目前只支持MSAL/Azure AD v2版本的终结点中还不支持的有限数量的认证场景，但这些差异将会很快被解决。更多关于两个版本终结点的差异请访问此链接。

未来状态

未来对于Microsoft Graph的认证请参看下图。Azure AD v2版本的终结点可以发行v1和v2版本的访问令牌。并且Azure Portal是唯一的用于注册应用程序的地址。总体来说未来的状态通过降低决策点并提供对广泛需求的支持来简化到Microsoft Graph的认证过程。

关于获取访问令牌的内容我们会在之后的文章中详细介绍，这里我们先简单看一下下面的访问令牌示例：

注意：Azure AD访问令牌是一个票据令牌，意思是任何持有该令牌的人或应用程序都可以使用它以许可的权限去调用Microsoft Graph。因此我们必须确保安全传输和存储以防止意外被使用。
乍一看这些访问令牌的格式好像有些读不明白，但是我们可以使用很多工具对它进行解码。例如Azure AD团队提供了一个网站https://jwt.io/。下面是解码后的令牌的示例。

这对诊断问题非常有帮助。关于访问令牌架构的更多信息，可以戳这里。

练习

通过http://jwt.ms/解码示例令牌。

V1 sample token
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.D3H6pMUtQnoJAGq6AHd
V2 sample token
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.pj4N-w_3Us9DrBLfpCt