Microsoft MVP성태의 닷넷 이야기
.NET Framework: 800. C# - Azure REST API 사용을 위한 인증 획득 [링크 복사], [링크+제목 복사]
조회: 1740
글쓴 사람
홈페이지
첨부 파일

C# - Azure REST API 사용을 위한 인증 획득

지난 글에서,

C# - API를 사용해 Azure에 접근하는 방법
; https://www.sysnet.pe.kr/2/0/11480

이미 잘 만들어진 Azure 라이브러리를 이용한 Azure 서비스 제어를 해봤는데요. 마지막에 REST API를 위한 인증 및 사용법을 설명했지만, 아예 그걸 떼어내서 별도의 글로 정리를 합니다. ^^ 물론, 관련해서는 이미 마이크로소프트의 공식 문서에 다음과 같이 잘 설명하고 있습니다.

Authorize access to Azure Active Directory web applications using the OAuth 2.0 code grant flow
; https://docs.microsoft.com/en-us/azure/active-directory/develop/v1-protocols-oauth-code#request-an-authorization-code

OAuth 2.0 코드 권한 부여 흐름을 사용하여 Azure Active Directory 웹 응용 프로그램에 대한 액세스 권한 부여
; https://docs.microsoft.com/ko-kr/azure/active-directory/develop/v1-protocols-oauth-code#request-an-authorization-code

그래도 ^^ 좀 더 간단하게 정리를 해봤으니 참고가 되실 것입니다.




"Authorize access to Azure Active Directory web applications using the OAuth 2.0 code grant flow" 문서를 보면, 우리가 구해야 할 값은 결국 Azure REST API를 호출할 때마다 함께 전달될 "Authorization: Bearer ...access_token..." 값입니다. 이를 위해 필요한 것은 우선 지난 글에서 설명한,

C# - API를 사용해 Azure에 접근하는 방법
; https://www.sysnet.pe.kr/2/0/11480

IAM 계정입니다. 따라서, Azure CLI를 이용해 다음과 같이,

C:\WINDOWS\system32>az login
Note, we have launched a browser for you to login. For old experience with device code, use "az login --use-device-code"
You have logged in. Now let us find all the subscriptions to which you have access...
[
  {
    "cloudName": "AzureCloud",
    "id": "9757c718-3140-4b9b-b9f9-84ff080353b3",
    "isDefault": true,
    "name": "TestSubs",
    "state": "Enabled",
    "tenantId": "8fcc7edc-6fc9-4b63-ba94-93f2d8584b96",
    "user": {
      "name": "tester@tester.com",
      "type": "user"
    }
  }
]

C:\WINDOWS\system32>az ad sp create-for-rbac --sdk-auth
Retrying role assignment creation: 1/36
Retrying role assignment creation: 2/36
{
  "clientId": "20304878-9518-4506-aea3-a06caae4d55f",
  "clientSecret": "5590caf5-125e-4950-9fe3-9dea908a1059",
  "subscriptionId": "9757c718-3140-4b9b-b9f9-84ff080353b3",
  "tenantId": "8fcc7edc-6fc9-4b63-ba94-93f2d8584b96",
  "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
  "resourceManagerEndpointUrl": "https://management.azure.com/",
  "activeDirectoryGraphResourceId": "https://graph.windows.net/",
  "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
  "galleryEndpointUrl": "https://gallery.azure.com/",
  "managementEndpointUrl": "https://management.core.windows.net/"
}

"az ad ..." 명령어의 결과로 생성한 인증 정보를 C# 소스 코드에 붙여 넣습니다.

using System.IO;
using System.Threading.Tasks;

namespace ConsoleApp1
{
    class Program
    {
        static async Task Main(string[] args)
        {
            AzureRestClient client = new AzureRestClient();

            string authData = "...[json text]...";
            await client.Login(authData);

            return 0;
        }
    }
}

using Newtonsoft.Json;
using System.Collections.Generic;
using System.Net.Http;
using System.Threading.Tasks;

namespace ConsoleApp1
{
    class AzureRestClient
    {
        HttpClient _client;
        string _subscriptionId;
        string _apiVersion = "2017-12-01";

        public AzureRestClient()
        {
            _client = new HttpClient();
        }

        public async Task<bool> Login(string authData)
        {
            AuthInfo authInfo = JsonConvert.DeserializeObject<AuthInfo>(authData);
            if (authInfo == null)
            {
                return false;
            }
        }
    }
}

public class AuthInfo
{
    public string clientId { get; set; }
    public string clientSecret { get; set; }
    public string subscriptionId { get; set; }
    public string tenantId { get; set; }
    public string activeDirectoryEndpointUrl { get; set; }
    public string resourceManagerEndpointUrl { get; set; }
    public string activeDirectoryGraphResourceId { get; set; }
    public string sqlManagementEndpointUrl { get; set; }
    public string galleryEndpointUrl { get; set; }
    public string managementEndpointUrl { get; set; }
}

그다음, AuthInfo 구조체의 정보를 기반으로 OAuth 인증을 받으면 됩니다. (사실, AuthInfo에서 필요한 필드는 3개에 불과합니다.)

public async Task<bool> Login(string authData)
{
    AuthInfo authInfo = JsonConvert.DeserializeObject<AuthInfo>(authData);
    if (authInfo == null)
    {
        return false;
    }

    string oauth2AzureAD = string.Format("https://login.microsoftonline.com/{0}/oauth2/token", authInfo.tenantId);

    var dict = new Dictionary<string, string>();
    dict.Add("grant_type", "client_credentials");
    dict.Add("client_id", authInfo.clientId);
    dict.Add("client_secret", authInfo.clientSecret);
    dict.Add("resource", authInfo.resourceManagerEndpointUrl);
    var client = new HttpClient();
    var req = new HttpRequestMessage(HttpMethod.Post, oauth2AzureAD) { Content = new FormUrlEncodedContent(dict) };
    HttpResponseMessage hrm = await client.SendAsync(req);

    //...

    return true;
}

정상적으로 인증이 되었다면 다음과 같이 결과를 처리할 수 있습니다.

public async Task<bool> Login(string authData)
{
    //...[생략]...
    HttpResponseMessage hrm = await client.SendAsync(req);

    string result = await hrm.Content.ReadAsStringAsync();

    TokenInfo tokenInfo = JsonConvert.DeserializeObject<TokenInfo>(result);
    string tokenType = tokenInfo.token_type;
    string accessToken = tokenInfo.access_token;

    // ...
}

public class TokenInfo
{
    public string token_type { get; set; }
    public string expires_in { get; set; }
    public string ext_expires_in { get; set; }
    public string expires_on { get; set; }
    public string not_before { get; set; }
    public string resource { get; set; }
    public string access_token { get; set; }
}

바로 저렇게 받아온 tokenType과 accessToken을 기반으로 이후의 모든 호출에서 재사용하도록 HTTP 헤더에 설정해 주면 됩니다.

TokenInfo tokenInfo = JsonConvert.DeserializeObject<TokenInfo>(result);
string tokenType = tokenInfo.token_type;
string accessToken = tokenInfo.access_token;

string authHeader = string.Format("{0} {1}", tokenType, accessToken);
_client.DefaultRequestHeaders.Add("Authorization", authHeader);
_subscriptionId = authInfo.subscriptionId;

예를 들어, 다음의 Azure REST API를 호출해 보겠습니다.

Virtual Machines - List All
; https://docs.microsoft.com/en-us/rest/api/compute/virtualmachines/listall

위의 도움말에서 "Try It" 버튼을 누르면,

azure_rest_api_auth_1.png

(인증 후) "REST API Try It" 패널로 진입합니다.

azure_rest_api_auth_2.png

게임 끝이군요. 위의 화면에서 (스크롤하면) 하단 "Run" 버튼을 누르면 Request/Response에 대한 모든 내용을 확인할 수 있습니다. 따라서 위의 정보에 맞게 우리도 호출해 주고 반환된 json 정보를 잘 이용하면 되는 것입니다.

public async Task<VirtualMachineList> GetVMList()
{
    string url = string.Format(
        "https://management.azure.com/subscriptions/{0}/providers/Microsoft.Compute/virtualMachines?api-version={1}", _subscriptionId, _apiVersion);

    HttpResponseMessage hrm = await _client.GetAsync(url);
    string result = await hrm.Content.ReadAsStringAsync();

    VirtualMachineList list = JsonConvert.DeserializeObject<VirtualMachineList>(result);
    return list;
}

static async Task<int> Main(string[] args)
{
    AzureRestClient client = new AzureRestClient();

    string authData = ..."az ad ..." 명령어의 결과...
    if (await client.Login(authData) == true)
    {
        VirtualMachineList machines = await client.GetVMList();
        foreach (var machine in machines.value)
        {
            Console.WriteLine($"{machine.name} at {machine.location}");
        }
    }            

    return 0;
}

/*
출력 결과:

vm1 at koreacentral
myvm at koreacentral
*/

(첨부 파일은 이 글의 예제 코드를 포함합니다.)




참고로 다음의 글들도 읽어 보면 좋습니다.

Azure Active Directory-Authentication OAuth 2.0-Type Password
; https://medium.com/nearsoft-solutions/azure-active-directory-authentication-oauth-2-0-type-password-e119f9a5ad4c

Azure REST APIs with Postman in 2 Minutes
; https://blog.jongallant.com/2017/11/azure-rest-apis-postman/

SubscriptionCloudCredentials Class
; https://docs.microsoft.com/en-us/previous-versions/azure/reference/dn604052(v%3Dazure.100)

첫 번째 링크의 글이 재미있는데요. OAuth 2의 인증 방식이 "Password", "Client credentials", "Implicit", "Authorization Code" 방식이 있다고 하는데, 그에 의하면 제가 설명한 방식은 "Client credentials"에 해당합니다.

dict.Add("grant_type", "client_credentials");

그리고 저 글에서는 "Password" 방식을 이용한 인증을 한다고 설명합니다. 그런데 좀 이해가 안 되는 면이 있다면, Password 방식은 "username"과 "password" 항목을 빼면 "Client credentials"에서 전달해야 할 값과 동일합니다. 그렇다는 것은 굳이 위험하게 더 많은 정보를 구할 필요 없이 그냥 "client_credentials" 방식으로 해도 될 것 같은데, 왜??? "Password" 방식이 있느냐 하는 것입니다. 혹시 아시는 분은 덧글 부탁드립니다. ^^




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 6/7/2019 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 



2018-10-25 04시16분
[QNA] 전 완전 초짜입니다. 글 잘보고 있습니다.먼저 감사합니다.
제 소견입니다. 글쓰신건 정독을 안했습니다.. 만약 질문에 맞지 않는 답변이면 언제든~ 삭제하셔도 됩니다.

아주르나, 파이어베이스나 목적(?)은 비슷한 부분이 있지 않나 싶습니다.
전 파이어베이스 문서를 읽었는데.
개요는 게임서버용도로 사용할 수 있게끔 되어있습니다.
개개인별 읽고 쓰고 해야하기에
유저, 비번이 있는게 아닌가 싶습니다.
관리자(개발자) 따로, 사용자 접근이 가능하게..
제가 설명이 많이 부족해서... 앞으로도 글 잘보겠습니다.
[손님]
2018-10-25 05시21분
그러니까, 본문의 마지막에 제가 쓴 질문에 대한 덧글을 단 거죠? 정독을 하셔야 하는데... 일단 그 부분만 다시 설명을 하면.

client_credentials 방식으로 인증을 하는데에는 grant_type, client_id, client_secret, resource 4개의 필드만 채우면 됩니다. 그런데, grant_type을 password로 바꾸는 경우에는 앞의 4가지와 함께 username과 password를 별도로 더 넣어야 합니다. 어차피 인증은 동일한 IAM 계정으로 하게 될텐데 password 유형에서 왜 굳이 2개의 필드를 추가로 더 넣어야 하느냐가... 의문인 것입니다.
정성태
2018-11-14 09시02분
How to Use the ADAL .NET library to Call the Microsoft Graph API in a Console Application (Using Authorization Code Flow)
; https://blogs.msdn.microsoft.com/aaddevsup/2018/11/07/how-to-use-the-adal-net-library-to-call-the-microsoft-graph-api-in-a-console-application-using-authorization-code-flow
정성태

[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12132정성태1/28/202022.NET Framework: 883. C#으로 구현하는 Win32 API 후킹(예: Sleep 호출 가로채기)파일 다운로드1
12131정성태1/27/202055개발 환경 구성: 467. LocaleEmulator를 이용해 유니코드를 지원하지 않는(한글이 깨지는) 프로그램을 실행하는 방법
12130정성태1/26/202035VS.NET IDE: 142. Visual Studio에서 windbg의 "Open Executable..."처럼 EXE를 직접 열어 디버깅을 시작하는 방법
12129정성태1/26/202078.NET Framework: 882. C# - 키움 Open API+ 사용 시 Registry 등록 없이 KHOpenAPI.ocx 사용하는 방법
12128정성태1/26/202016오류 유형: 591. The code execution cannot proceed because mfc100.dll was not found. Reinstalling the program may fix this problem.
12127정성태1/28/202055.NET Framework: 881. C# DLL에서 제공하는 Win32 export 함수의 내부 동작 방식(VT Fix up Table)파일 다운로드1
12126정성태1/25/202059.NET Framework: 880. C# - PE 파일로부터 IMAGE_COR20_HEADER 및 VTableFixups 테이블 분석파일 다운로드1
12125정성태1/24/202020VS.NET IDE: 141. IDE0019 - Use pattern matching
12124정성태1/24/202022VS.NET IDE: 140. IDE1006 - Naming rule violation: These words must begin with upper case characters: ...
12123정성태1/23/202047웹: 39. Google Analytics - gtag 함수를 이용해 페이지 URL 수정 및 별도의 이벤트 생성 방법
12122정성태1/22/202076.NET Framework: 879. C/C++의 UNREFERENCED_PARAMETER 매크로를 C#에서 우회하는 방법(IDE0060 - Remove unused parameter '...')파일 다운로드1
12121정성태1/24/202051VS.NET IDE: 139. Visual Studio - Error List: "Could not find schema information for the ..."파일 다운로드1
12120정성태1/20/202097.NET Framework: 878. C# DLL에서 Win32 C/C++처럼 dllexport 함수를 제공하는 방법 - 네 번째 이야기(IL 코드로 직접 구현)파일 다운로드1
12119정성태1/17/202090디버깅 기술: 160. Windbg 확장 DLL 만들기 (3) - C#으로 만드는 방법
12118정성태1/17/2020105개발 환경 구성: 466. C# DLL에서 Win32 C/C++처럼 dllexport 함수를 제공하는 방법 - 세 번째 이야기
12117정성태1/15/202072디버깅 기술: 159. C# - 디버깅 중인 프로세스를 강제로 다른 디버거에서 연결하는 방법파일 다운로드1
12116정성태1/15/202072디버깅 기술: 158. Visual Studio로 디버깅 시 sos.dll 확장 명령어를 (비롯한 windbg의 다양한 기능을) 수행하는 방법
12115정성태1/14/202048디버깅 기술: 157. C# - PEB.ProcessHeap을 이용해 디버깅 중인지 확인하는 방법파일 다운로드1
12114정성태1/13/2020114디버깅 기술: 156. C# - PDB 파일로부터 심벌(Symbol) 및 타입(Type) 정보 열거파일 다운로드3
12113정성태1/12/202080오류 유형: 590. Visual C++ 빌드 오류 - fatal error LNK1104: cannot open file 'atls.lib'
12112정성태1/12/202042오류 유형: 589. PowerShell - 원격 Invoke-Command 실행 시 "WinRM cannot complete the operation" 오류 발생
12111정성태1/12/2020125디버깅 기술: 155. C# - KernelMemoryIO 드라이버를 이용해 실행 프로그램을 숨기는 방법(DKOM: Direct Kernel Object Modification)
12110정성태1/12/202089디버깅 기술: 154. Patch Guard로 인해 블루 스크린(BSOD)가 발생하는 사례파일 다운로드1
12109정성태1/10/202036오류 유형: 588. Driver 프로젝트 빌드 오류 - Inf2Cat error -2: "Inf2Cat, signability test failed."
12108정성태1/10/202044오류 유형: 587. Kernel Driver 시작 시 127(The specified procedure could not be found.) 오류 메시지 발생
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...