성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>오류 기록 - MICROSOFT GRAPH – HOW TO IMPLEMENT IAUTHENTICATIONPROVIDER</h1> <p> 이번 글은 단순히 다음의 글을 실습하는 과정에서 겪은 오류 기록입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > MICROSOFT GRAPH – HOW TO IMPLEMENT IAUTHENTICATIONPROVIDER ; <a target='tab' href='https://adrianszen.com/2019/06/16/microsoft-graph-how-to-implement-iauthenticationprovider/'>https://adrianszen.com/2019/06/16/microsoft-graph-how-to-implement-iauthenticationprovider/</a> </pre> <br /> 결론 먼저 말하면, 해당 예제는 정상적으로 동작하지 않는데 아마도 제가 아직 Microsoft Identity Platform에 익숙하지 않아서 그런 것 같습니다. ^^ 위의 예제는 ClientSecrets를 이용하면서도 사용자의 로그인 과정을 필요로 하지 않는 코드만 포함하고 있습니다. 따라서 기존 예제들과는 달리 Access Token이 사용자 문맥을 포함하지 않는 인증을 대표하는 것 같은데 딱히 이것이 아직 어떻게 쓰일 수 있는지 잘 모르겠습니다. (혹시, 위의 예제가 어떤 식으로 활용되는지 아시는 분은 덧글 부탁드립니다.)<br /> <br /> 그래도, 막상 (성공은 못했지만) 실습하면서 겪은 사항들을 나중에라도 한 번 더 살펴봤을 때 도움이 되도록 기록을 남깁니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 우선, App 등록을 해야 하는데 그 과정은 아래의 글에서 이미 설명했습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C# - Azure AD 인증을 지원하는 ASP.NET Core/5+ 웹 애플리케이션 예제 구성 ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/12614'>https://www.sysnet.pe.kr/2/0/12614</a> </pre> <br /> 여기서는 "<a target='tab' href='https://adrianszen.com/2019/06/16/microsoft-graph-how-to-implement-iauthenticationprovider/'>hMICROSOFT GRAPH – HOW TO IMPLEMENT IAUTHENTICATIONPROVIDER</a>" 글에 따라 다음의 설정이 되었다고 가정하겠습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > name: test-auth-webapp Certificates & secrets: 1개 생성 API permissions: Directry.Read.All, User.Read.All </pre> <br /> 그다음 간단하게 ASP.NET Core 프로젝트를 하나 만들고 다음의 3개 패키지를 추가합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Install-Package Microsoft.Graph Install-Package Microsoft.Graph.Core Install-Package Microsoft.Identity.Client </pre> <br /> 이후 기본 생성된 코드에 GraphServiceClient를 이용해 Microsoft Graph 쿼리를 발생시키는 코드를 추가합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > using Microsoft.AspNetCore.Mvc; using Microsoft.Extensions.Logging; using Microsoft.Graph; using System; using System.Collections.Generic; using System.Linq; using System.Threading.Tasks; namespace WebApplication1.Controllers { [ApiController] [Route("[controller]")] public class WeatherForecastController : ControllerBase { // ..[생략]... private readonly ILogger<WeatherForecastController> _logger; <span style='color: blue; font-weight: bold'>private readonly IAuthenticationProvider _auth;</span> public WeatherForecastController(ILogger<WeatherForecastController> logger, <span style='color: blue; font-weight: bold'>IAuthenticationProvider auth</span>) { _logger = logger; <span style='color: blue; font-weight: bold'>_auth = auth;</span> } [HttpGet] public async Task<IEnumerable<WeatherForecast>> Get() { // ..[생략]... <span style='color: blue; font-weight: bold'>GraphServiceClient graphClient = new GraphServiceClient("https://graph.microsoft.com/v1.0", _auth); var me = await graphClient.Me.Request().GetAsync();</span> System.Diagnostics.Trace.WriteLine(me.DisplayName); return result; } } } </pre> <br /> 위에서 IAuthenticationProvider를 주입했는데요, 이를 위한 구현 클래스는 다음과 같고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > using Microsoft.Graph; using Microsoft.Identity.Client; using System.Net.Http; using System.Threading.Tasks; namespace WebApplication1 { <span style='color: blue; font-weight: bold'>public class AuthenticationProvider : IAuthenticationProvider</span> { private readonly string clientId; private readonly string clientSecret; private readonly string[] appScopes; private readonly string tenantId; public AuthenticationProvider(string clientId, string clientSecret, string[] appScopes, string tenantId) { this.clientId = clientId; this.clientSecret = clientSecret; this.appScopes = appScopes; this.tenantId = tenantId; } <span style='color: blue; font-weight: bold'>public async Task AuthenticateRequestAsync(HttpRequestMessage request)</span> { // Client credential flows in MSAL.NET // ; <a target='tab' href='https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/wiki/Client-credential-flows'>https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/wiki/Client-credential-flows</a> var clientApplication = <span style='color: blue; font-weight: bold'>ConfidentialClientApplicationBuilder.Create</span>(this.clientId) .WithClientSecret(this.clientSecret) .WithTenantId(this.tenantId) .Build(); var result = await <span style='color: blue; font-weight: bold'>clientApplication.AcquireTokenForClient</span>(this.appScopes).ExecuteAsync(); if (request.Headers.Contains("Authorization") == false) { <span style='color: blue; font-weight: bold'>request.Headers.Add("Authorization", result.CreateAuthorizationHeader());</span> } } } } </pre> <br /> 이것을 Startup.cs 파일의 ConfigureServices에서 다음과 같이 추가를 하면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > public void ConfigureServices(IServiceCollection services) { services.AddControllers(); var scopes = new string[] { "api://...[app_client_id].../.default" }; <span style='color: blue; font-weight: bold'>services.AddSingleton(typeof(IAuthenticationProvider), new AuthenticationProvider</span>) ( "...[app_client_id]...", "...[client_secret_value]...", scopes, "...[tenant_id]..." )); } </pre> <br /> (<a target='tab' href='https://www.sysnet.pe.kr/bbs/DownloadAttachment.aspx?fid=1830&boardid=331301885'>첨부 파일은 이 글의 예제 코드를 포함</a>합니다.)<br /> <br /> <hr style='width: 50%' /><br /> <br /> 이렇게 코딩하고 실행해 보면, AuthenticateRequestAsync의 AcquireTokenForClient 호출에서는 정상적으로 Access Token을 받아옵니다. 하지만, 해당 token이 설정된 GraphServiceClient를 사용하는 코드에서,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > GraphServiceClient graphClient = new GraphServiceClient("https://graph.microsoft.com/v1.0", _auth); var sampleRequest = await graphClient.Users.Request().GetAsync(); // 예외 발생 </pre> <br /> 다음과 같은 예외가 발생합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Microsoft.Graph.ServiceException HResult=0x80131500 Message=Code: InvalidAuthenticationToken Message: Access token validation failure. Invalid audience. Inner error: AdditionalData: date: ...[생략]... request-id: ...[생략]... client-request-id: ...[생략]... ClientRequestId: ...[생략]... Source=Microsoft.Graph.Core StackTrace: at Microsoft.Graph.HttpProvider.<SendAsync>d__18.MoveNext() at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/ExceptionServices/ExceptionDispatchInfo.cs:line 56 at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task) in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 173 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 150 at System.Runtime.CompilerServices.ConfiguredTaskAwaitable`1.ConfiguredTaskAwaiter.GetResult() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 551 at Microsoft.Graph.BaseRequest.<SendRequestAsync>d__40.MoveNext() This exception was originally thrown at this call stack: [External Code] System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in ExceptionDispatchInfo.cs System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(System.Threading.Tasks.Task) in TaskAwaiter.cs System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(System.Threading.Tasks.Task) in TaskAwaiter.cs System.Runtime.CompilerServices.ConfiguredTaskAwaitable<TResult>.ConfiguredTaskAwaiter.GetResult() in TaskAwaiter.cs [External Code] </pre> <br /> 실제로 해당 Access Token을 postman으로 테스트를 해보면 동일한 오류 메시지를 받게 됩니다. 그리고 이때의 AcquireTokenForClient의 반환값을 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > AccessToken "ey...[생략]...Ow" string Account null Microsoft.Identity.Client.IAccount + AuthenticationResultMetadata {Microsoft.Identity.Client.AuthenticationResultMetadata} Microsoft.Identity.Client.AuthenticationResultMetadata + ClaimsPrincipal null System.Security.Claims.ClaimsPrincipal + CorrelationId {f0...[생략]...63} System.Guid + ExpiresOn {2021-...[생략]...} System.DateTimeOffset + ExtendedExpiresOn {2021-...[생략]...} System.DateTimeOffset IdToken null string IsExtendedLifeTimeToken false bool - Scopes Count = 0x00000001 System.Collections.Generic.IEnumerable<string> {System.Collections.Generic.HashSet<string>} [0] "api://32...[생략]...62/.default" string + Raw View TenantId null string TokenType "Bearer" string UniqueId null string + Non-Public members </pre> <br /> <a target='tab' href='https://www.sysnet.pe.kr/2/0/12735#auth_result'>정상적인 동작을 하던 authResult</a>와는 다른 결과를 갖습니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 위의 코드 접근을 그대로 따르는 마이크로소프트의 다른 예제를 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Azure-Samples/active-directory-dotnetcore-daemon-v2 ; <a target='tab' href='https://github.com/Azure-Samples/active-directory-dotnetcore-daemon-v2'>https://github.com/Azure-Samples/active-directory-dotnetcore-daemon-v2</a> </pre> <br /> 약간 환경 값이 다릅니다. <br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // scopes = new string [] { "https://graph.microsoft.com/.default" }; result = await app.AcquireTokenForClient(scopes) .ExecuteAsync(); </pre> <br /> "<a target='tab' href='https://adrianszen.com/2019/06/16/microsoft-graph-how-to-implement-iauthenticationprovider/'>MICROSOFT GRAPH – HOW TO IMPLEMENT IAUTHENTICATIONPROVIDER</a>" 글의 전체 예제 코드가 공개되지 않아 <a target='tab' href='scope 값이 "https://www.sysnet.pe.kr/2/0/12738'>scope 값이 "api://{clientId}/.default" 형식</a>이라고 생각했는데 마이크로소프트의 예제에서는 "https://graph.microsoft.com/.default"로 사용하고 있는 것입니다.<br /> <br /> 하지만, 저렇게 적용을 해도 (역시 Access Token까지는 받아오지만) Microsoft Graph API를 수행할 때 (두 가지 예제 모두) 이런 오류가 발생합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Microsoft.Graph.ServiceException HResult=0x80131500 Message=Code: Authorization_RequestDenied Message: Insufficient privileges to complete the operation. Inner error: AdditionalData: date: ...[생략]... request-id: ...[생략]... client-request-id: ...[생략]... ClientRequestId: ...[생략]... Source=Microsoft.Graph.Core StackTrace: at Microsoft.Graph.HttpProvider.<SendAsync>d__18.MoveNext() at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/ExceptionServices/ExceptionDispatchInfo.cs:line 56 at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task) in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 173 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 150 at System.Runtime.CompilerServices.ConfiguredTaskAwaitable`1.ConfiguredTaskAwaiter.GetResult() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 551 at Microsoft.Graph.BaseRequest.<SendRequestAsync>d__40.MoveNext() This exception was originally thrown at this call stack: [External Code] System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in ExceptionDispatchInfo.cs System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(System.Threading.Tasks.Task) in TaskAwaiter.cs System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(System.Threading.Tasks.Task) in TaskAwaiter.cs System.Runtime.CompilerServices.ConfiguredTaskAwaitable<TResult>.ConfiguredTaskAwaiter.GetResult() in TaskAwaiter.cs [External Code] </pre> <br /> 마이크로소프트의 예제 설명을 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > This sample application shows how to use the Microsoft identity platform endpoint to access the data of Microsoft business customers </pre> <br /> 라고 나오는데, 아무래도 제가 보유하고 있는 Azure Active Directory의 tenant 유형이 아닌 Office 365 같은 식의 tenant에서 발급받은 ClientSecret 값이어야 하지 않나 싶습니다. 이에 대한 힌트를 다음의 글에서 볼 수 있는데요,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Call MS Graph APIs from ASP.NET Core 3.1 ; <a target='tab' href='https://cmatskas.com/call-ms-graph-apis-from-asp-net-core-3-1/'>https://cmatskas.com/call-ms-graph-apis-from-asp-net-core-3-1/</a> </pre> <br /> "No authentication", "Individual User Accounts", "Work or School Accounts", "Windows Authentication" 4가지인데 아마도 제가 한 환경은 "Individual"인 듯싶고, ... 암튼 이번엔 여기까지 정리하고 다음에 또 시간 나면 접근해 봐야겠습니다. ^^<br /> <br /> <hr style='width: 50%' /><br /> <br /> 다음과 같은 오류가 발생한다면?<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Microsoft.Identity.Client.MsalServiceException HResult=0x80131500 Message=A configuration issue is preventing authentication - check the error message from the server for details. You can modify the configuration in the application registration portal. See https://aka.ms/msal-net-invalid-client for details. Original exception: AADSTS7000215: Invalid client secret is provided. Trace ID: ...[생략]... Correlation ID: ...[생략]... Timestamp: ...[생략]... Source=Microsoft.Identity.Client StackTrace: at Microsoft.Identity.Client.OAuth2.OAuth2Client.ThrowServerException(HttpResponse response, RequestContext requestContext) at Microsoft.Identity.Client.OAuth2.OAuth2Client.CreateResponse[T](HttpResponse response, RequestContext requestContext) at Microsoft.Identity.Client.OAuth2.OAuth2Client.<ExecuteRequestAsync>d__11`1.MoveNext() at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/ExceptionServices/ExceptionDispatchInfo.cs:line 56 at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task) in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 173 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 150 at System.Runtime.CompilerServices.ConfiguredTaskAwaitable`1.ConfiguredTaskAwaiter.GetResult() in /_/src/libraries/System.Private.CoreLib/src/System/Runtime/CompilerServices/TaskAwaiter.cs:line 551 at Microsoft.Identity.Client.OAuth2.OAuth2Client.<GetTokenAsync>d__10.MoveNext() This exception was originally thrown at this call stack: [External Code] System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() in ExceptionDispatchInfo.cs System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(System.Threading.Tasks.Task) in TaskAwaiter.cs System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(System.Threading.Tasks.Task) in TaskAwaiter.cs System.Runtime.CompilerServices.ConfiguredTaskAwaitable<TResult>.ConfiguredTaskAwaiter.GetResult() in TaskAwaiter.cs [External Code] </pre> <br /> 메시지("Invalid client secret is provided.")에 나오듯이, ClientSecret 값을 잘 못 전달한 것입니다. (아마도 테스트를 이거저거 하면서 저처럼 혼동하면 저 오류를 보게 될 것입니다. ^^)<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1767
(왼쪽의 숫자를 입력해야 합니다.)