Guida introduttiva: Chiamare un'API Web in un'app daemon di esempio

• Requisito minimo di .NET 6.0 SDK.
• Visual Studio 2022 o Visual Studio Code.

• Node.js.
• Visual Studio Code o un altro editor di codice.

• Python 3+.
• Visual Studio Code o un altro editor di codice.

• Java Development Kit (JDK) 8 o versione successiva.
• Maven.
• Editor di codice appropriato.

Per l'app daemon .NET, non è necessario concedere o dare il consenso a nessuna autorizzazione. Questa app daemon legge le proprie informazioni di registrazione, in modo da poter funzionare senza concedere nessuna autorizzazione dell'applicazione.

1. Nella pagina registrazioni dell'app selezionare l'applicazione creata, ad esempio ciam-client-app.

2. In Gestisci, selezionare autorizzazioni API .

3. In Autorizzazioni configurate, selezionare Aggiungi un'autorizzazione.

4. Sotto la scheda API di Microsoft, selezionare le autorizzazioni dell'applicazione di Microsoft Graph >>. Selezioniamo l'opzione Autorizzazioni applicazione poiché l'app accede come se stessa, ma non per conto di un utente.

5. Nell'elenco Selezionare le autorizzazioni cercare e quindi selezionare User.Read.All. Questa autorizzazione viene concessa in modo che l'app voglia possa leggere tutti i profili completi degli utenti.

6. Selezionare il pulsante Aggiungi autorizzazioni.

7. A questo punto, le autorizzazioni sono state assegnate correttamente. Tuttavia, poiché l'app daemon non consente agli utenti di interagire con essa, gli utenti stessi non possono fornire il consenso a queste autorizzazioni. L'amministratore del tenant deve fornire il consenso a queste autorizzazioni per conto di tutti gli utenti nel tenant:

   1. Selezionare Concedi consenso amministratore per <nome del locatario>e quindi selezionare Sì.
   2. Selezionare Aggiorna, quindi verificare che Concesso per <il nome del tenant> appaia sotto Stato per entrambe le autorizzazioni.

1. Nella pagina registrazioni dell'app selezionare l'applicazione creata, ad esempio ciam-client-app.

2. In Gestisci, selezionare autorizzazioni API .

3. In Autorizzazioni configurate, selezionare Aggiungi un'autorizzazione.

4. Sotto la scheda API di Microsoft, selezionare le autorizzazioni dell'applicazione di Microsoft Graph >>. Selezioniamo l'opzione Autorizzazioni applicazione poiché l'app accede come se stessa, ma non per conto di un utente.

5. Nell'elenco Selezionare le autorizzazioni cercare e quindi selezionare User.Read.All. Questa autorizzazione viene concessa in modo che l'app voglia possa leggere tutti i profili completi degli utenti.

6. Selezionare il pulsante Aggiungi autorizzazioni.

7. A questo punto, le autorizzazioni sono state assegnate correttamente. Tuttavia, poiché l'app daemon non consente agli utenti di interagire con essa, gli utenti stessi non possono fornire il consenso a queste autorizzazioni. L'amministratore del tenant deve fornire il consenso a queste autorizzazioni per conto di tutti gli utenti nel tenant:

   1. Selezionare Concedi consenso amministratore per <nome del locatario>e quindi selezionare Sì.
   2. Selezionare Aggiorna, quindi verificare che Concesso per <il nome del tenant> appaia sotto Stato per entrambe le autorizzazioni.

1. Nella pagina registrazioni dell'app selezionare l'applicazione creata, ad esempio ciam-client-app.

2. In Gestisci, selezionare autorizzazioni API .

3. In Autorizzazioni configurate, selezionare Aggiungi un'autorizzazione.

4. Sotto la scheda API di Microsoft, selezionare le autorizzazioni dell'applicazione di Microsoft Graph >>. Selezioniamo l'opzione Autorizzazioni applicazione poiché l'app accede come se stessa, ma non per conto di un utente.

5. Nell'elenco Selezionare le autorizzazioni cercare e quindi selezionare User.Read.All. Questa autorizzazione viene concessa in modo che l'app voglia possa leggere tutti i profili completi degli utenti.

6. Selezionare il pulsante Aggiungi autorizzazioni.

7. A questo punto, le autorizzazioni sono state assegnate correttamente. Tuttavia, poiché l'app daemon non consente agli utenti di interagire con essa, gli utenti stessi non possono fornire il consenso a queste autorizzazioni. L'amministratore del tenant deve fornire il consenso a queste autorizzazioni per conto di tutti gli utenti nel tenant:

   1. Selezionare Concedi consenso amministratore per <nome del locatario>e quindi selezionare Sì.
   2. Selezionare Aggiorna, quindi verificare che Concesso per <il nome del tenant> appaia sotto Stato per entrambe le autorizzazioni.

git clone https://github.com/Azure-Samples/ms-identity-docs-code-dotnet.git

• Scarica il file .zip. Estrarlo in un percorso di file in cui la lunghezza del nome è inferiore a 260 caratteri.

git clone https://github.com/azure-samples/ms-identity-javascript-nodejs-console.git 

• Scarica il file .zip. Estrarlo in un percorso di file in cui la lunghezza del nome è inferiore a 260 caratteri.

git clone https://github.com/Azure-Samples/ms-identity-python-daemon.git 

• Scarica il file .zip. Estrarlo in un percorso di file in cui la lunghezza del nome è inferiore a 260 caratteri.

git clone https://github.com/Azure-Samples/ms-identity-java-daemon.git

• Scarica il file .zip. Estrarlo in un percorso di file in cui la lunghezza del nome è inferiore a 260 caratteri.

1. Aprire una finestra della console e quindi passare alla directory ms-identity-docs-code-dotnet/console-daemon:

   cd ms-identity-docs-code-dotnet/console-daemon
   

2. Aprire Program.cs e sostituire il contenuto del file con il frammento di codice seguente;

    // Full directory URL, in the form of https://login.microsoftonline.com/<tenant_id>
    Authority = " https://login.microsoftonline.com/Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center",
    // 'Enter the client ID obtained from the Microsoft Entra admin center
    ClientId = "Enter the client ID obtained from the Microsoft Entra admin center",
    // Client secret 'Value' (not its ID) from 'Client secrets' in the Microsoft Entra admin center
    ClientSecret = "Enter the client secret value obtained from the Mifcrosoft Entra admin center",
    // Client 'Object ID' of app registration in Microsoft Entra admin center - this value is a GUID
    ClientObjectId = "Enter the client Object ID obtained from the Microsoft Entra admin center"
   

   • Authority: l'autorità è un URL che indica una directory dalla quale MSAL può richiedere token. Sostituire Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center con il valore dell'ID directory (tenant) registrato in precedenza.
   • ClientId: identificatore dell'applicazione, detto anche client. Sostituire il testo tra virgolette con il valore Application (client) ID registrato in precedenza dalla pagina di panoramica dell'applicazione registrata.
   • ClientSecret - Il segreto del client creato per l'applicazione nel centro di amministrazione di Microsoft Entra. Immettere il valore del segreto client.
   • ClientObjectId : ID oggetto dell'applicazione client. Sostituire il testo tra virgolette con il valore Object ID registrato in precedenza dalla pagina di panoramica dell'applicazione registrata.

Nell'editor aprire il file .env, quindi sostituire i segnaposto:

• Enter_the_Application_Id_Here con l'ID applicazione (client) dell'applicazione registrata in precedenza.
• Enter_the_Tenant_Id_Here con l'ID tenant del tenant della tua forza lavoro.
• Enter_the_Client_Secret_Here con il segreto del client che hai creato in precedenza.
• Enter_the_Cloud_Instance_Id_Here con https://login.microsoftonline.com.
• Enter_the_Graph_Endpoint_Here con https://graph.microsoft.com/.

1. Passare alla directory 1-Call-MsGraph-WithSecret.

2. Nell'editor aprire il file parameters.json e sostituire i segnaposto:

   • Enter_the_Application_Id_Here con l'ID applicazione (client) dell'applicazione registrata in precedenza.
   • Enter_the_Tenant_Id_Here con l'ID tenant del tenant della tua forza lavoro.
   • Enter_the_Client_Secret_Here con il segreto del client che hai creato in precedenza.

1. Accedere alla directory msal-client-credential-secret.

2. Nell'editor aprire il file src\main\resources\application.properties e sostituire i segnaposto:

   • Enter_the_Application_Id_Here con l'ID applicazione (client) dell'applicazione registrata in precedenza.
   • Enter_the_Tenant_Id_Here con l'ID tenant del tenant della tua forza lavoro.
   • Enter_the_Client_Secret_Here con il segreto del client che hai creato in precedenza.

Dalla finestra della console eseguire il comando seguente per compilare ed eseguire l'applicazione:

dotnet run

Al termine dell'esecuzione dell'applicazione, viene visualizzata una risposta simile al frammento di codice seguente (abbreviato per brevità):

{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#applications/$entity",
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
"deletedDateTime": null,
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"applicationTemplateId": null,
"disabledByMicrosoftStatus": null,
"createdDateTime": "2021-01-17T15:30:55Z",
"displayName": "identity-dotnet-console-app",
"description": null,
"groupMembershipClaims": null,
...
}

Come funziona

Un'applicazione daemon acquisisce un token per conto di se stesso (non per conto di un utente). Gli utenti non possono interagire con un'applicazione daemon perché richiede la propria identità. Questo tipo di applicazione richiede un token di accesso usando l'identità dell'applicazione presentando l'ID applicazione, le credenziali (segreto o certificato) e un URI ID applicazione. L'applicazione daemon utilizza il flusso di concessione delle credenziali client standard OAuth 2.0 per acquisire un token di accesso.

L'app acquisisce un token di accesso da Microsoft Identity Platform. Il token di accesso ha come ambito l'API Microsoft Graph. L'app usa quindi il token di accesso per richiedere i dettagli di registrazione dell'applicazione dall'API Microsoft Graph. L'app può richiedere qualsiasi risorsa dall'API Microsoft Graph purché il token di accesso disponga delle autorizzazioni appropriate.

L'esempio illustra come un processo automatico o un servizio Windows può essere eseguito con un'identità dell'applicazione, anziché con l'identità di un utente.

1. Per installare le dipendenze, eseguire il comando seguente:

   npm install
   

2. Usare il comando seguente per eseguire l'applicazione:

   node . --op getUsers
   

Se l'app viene eseguita correttamente, verrà visualizzato un output in formato JSON che rappresenta un elenco di tutti gli utenti del tenant della forza lavoro. È simile al frammento di codice seguente:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Come funziona

Un'applicazione daemon acquisisce un token per conto di se stesso (non per conto di un utente). Gli utenti non possono interagire con un'applicazione daemon perché richiede la propria identità. Questo tipo di applicazione richiede un token di accesso usando l'identità dell'applicazione presentando l'ID applicazione, le credenziali (segreto o certificato) e un URI ID applicazione. L'applicazione daemon utilizza il flusso di concessione delle credenziali client standard OAuth 2.0 per acquisire un token di accesso.

L'app acquisisce un token di accesso da Microsoft Identity Platform. Il token di accesso ha come ambito l'API Microsoft Graph. L'app usa quindi il token di accesso per leggere tutti gli utenti nel tenant dall'API Microsoft Graph. L'app può richiedere qualsiasi risorsa dall'API Microsoft Graph purché il token di accesso disponga delle autorizzazioni appropriate. In questo caso, è stata concessa all'app l'autorizzazione dell'app User.Read.All in modo che legga tutti i profili completi degli utenti.

L'esempio illustra come un processo automatico o un servizio Windows può essere eseguito con un'identità dell'applicazione, anziché con l'identità di un utente.

1. Per installare le dipendenze, eseguire il comando seguente:

   pip install -r requirements.txt
   

2. Per eseguire l'applicazione, usare il comando seguente:

   python confidential_client_secret_sample.py parameters.json
   

Se l'app viene eseguita correttamente, verrà visualizzato un output in formato JSON che rappresenta un elenco di tutti gli utenti del tenant della forza lavoro. È simile al frammento di codice seguente:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Come funziona

Un'applicazione daemon acquisisce un token per conto di se stesso (non per conto di un utente). Gli utenti non possono interagire con un'applicazione daemon perché richiede la propria identità. Questo tipo di applicazione richiede un token di accesso usando l'identità dell'applicazione presentando l'ID applicazione, le credenziali (segreto o certificato) e un URI ID applicazione. L'applicazione daemon utilizza il flusso di concessione delle credenziali client standard OAuth 2.0 per acquisire un token di accesso.

L'app acquisisce un token di accesso da Microsoft Identity Platform. Il token di accesso ha come ambito l'API Microsoft Graph. L'app usa quindi il token di accesso per leggere tutti gli utenti nel tenant dall'API Microsoft Graph. L'app può richiedere qualsiasi risorsa dall'API Microsoft Graph purché il token di accesso disponga delle autorizzazioni appropriate. In questo caso, è stata concessa all'app l'autorizzazione dell'app User.Read.All in modo che legga tutti i profili completi degli utenti.

L'esempio illustra come un processo automatico o un servizio Windows può essere eseguito con un'identità dell'applicazione, anziché con l'identità di un utente.

È possibile testare l'app di esempio eseguendo il metodo principale di ClientCredentialGrant.java dall'IDE o

1. Dalla console eseguire il comando seguente:

   $ mvn clean compile assembly:single
   

   Questo comando genera un file msal-client-credential-secret-1.0.0.jar nella directory /targets.

2. Passare alla directory /targets, quindi eseguire il file eseguibile Java usando il comando seguente:

   $ java -jar msal-client-credential-secret-1.0.0.jar
   

Se l'app viene eseguita correttamente, verrà visualizzato un output in formato JSON che rappresenta un elenco di tutti gli utenti del tenant della forza lavoro. È simile al frammento di codice seguente:

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

Come funziona

Un'applicazione daemon acquisisce un token per conto di se stesso (non per conto di un utente). Gli utenti non possono interagire con un'applicazione daemon perché richiede la propria identità. Questo tipo di applicazione richiede un token di accesso usando l'identità dell'applicazione presentando l'ID applicazione, le credenziali (segreto o certificato) e un URI ID applicazione. L'applicazione daemon utilizza il flusso di concessione delle credenziali client standard OAuth 2.0 per acquisire un token di accesso.

L'app acquisisce un token di accesso da Microsoft Identity Platform. Il token di accesso ha come ambito l'API Microsoft Graph. L'app usa quindi il token di accesso per leggere tutti gli utenti nel tenant dall'API Microsoft Graph. L'app può richiedere qualsiasi risorsa dall'API Microsoft Graph purché il token di accesso disponga delle autorizzazioni appropriate. In questo caso, è stata concessa all'app l'autorizzazione dell'app User.Read.All in modo che legga tutti i profili completi degli utenti.

L'esempio illustra come un processo automatico o un servizio Windows può essere eseguito con un'identità dell'applicazione, anziché con l'identità di un utente.

• Impara costruendo questa app Web ASP.NET seguendo la serie della guida: Registrare un'applicazione con Microsoft Identity Platform.

• Avvio rapido: Distribuire un'app web ASP.NET su Azure App Service

• Scopri come compilare l'applicazione daemon Node.js che chiama l'API Web.

• Informazioni su come compilare un'applicazione daemon Python che chiama le API Web

• Informazioni su come creare un'applicazione daemon Java che chiama le API Web

• Per clonare l'esempio, aprire un prompt dei comandi e passare alla posizione in cui si vuole creare il progetto e immettere il comando seguente:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-javascript-tutorial.git
  

• In alternativa, scaricare gli esempi di file .zip, quindi estrarlo in un percorso del file in cui la lunghezza del nome è inferiore a 260 caratteri.

Installare le dipendenze del progetto

1. Aprire una finestra della console e passare alla directory che contiene l'app di esempio Node.js:

   cd 2-Authorization\3-call-api-node-daemon\App
   

2. Eseguire i comandi seguenti per installare le dipendenze dell'app:

   npm install && npm update
   

• Per clonare l'esempio, aprire un prompt dei comandi e passare alla posizione in cui si vuole creare il progetto e immettere il comando seguente:

  git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git
  

• Scarica il file .zip. Estrarlo in un percorso di file in cui la lunghezza del nome è inferiore a 260 caratteri.

1. Nell'editor di codice aprire App\authConfig.js file.

2. Trova il segnaposto:

   • Enter_the_Application_Id_Here e sostituirlo con l'ID applicazione (client) dell'app daemon registrata in precedenza.

   • Enter_the_Tenant_Subdomain_Here e sostituirlo con il sottodominio Directory (tenant). Ad esempio, se il dominio primario del tenant è contoso.onmicrosoft.com, usare contoso. Se non hai il nome del tenant, scopri come leggere i dettagli del tenant.

   • Enter_the_Client_Secret_Here e sostituiscilo con il valore del segreto dell'applicazione daemon copiato in precedenza.

   • Enter_the_Web_Api_Application_Id_Here e sostituirlo con l'ID applicazione (client) dell'API Web copiata in precedenza.

Per usare la registrazione dell'app nell'esempio di API Web:

1. Nell'editor di codice aprire API\ToDoListAPI\appsettings.json file.

2. Trova il segnaposto:

   • Enter_the_Application_Id_Here e sostituirlo con l'ID applicazione (client) dell'API Web copiata.

   • Enter_the_Tenant_Id_Here e sostituirlo con l'ID di directory (tenant) copiato in precedenza.

   • Enter_the_Tenant_Subdomain_Here e sostituirlo con il sottodominio Directory (tenant). Ad esempio, se il dominio primario del tenant è contoso.onmicrosoft.com, usare contoso. Se non hai il nome del tenant, scopri come leggere i dettagli del tenant.

1. Apri il file ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListClient/appsettings.json nell'editor di codice.

2. Trova il segnaposto:

   • Enter_the_Application_Id_Here e sostituirlo con l'ID applicazione (client) dell'applicazione daemon registrata in precedenza.
   • Enter_the_Tenant_Subdomain_Here e sostituirlo con il sottodominio Directory (tenant). Ad esempio, se il dominio primario del tenant è contoso.onmicrosoft.com, usare contoso. Se non hai il nome del tenant, scopri come leggere i dettagli del tenant.
   • Enter_the_Client_Secret_Here e sostituirlo con il valore della chiave segreta dell'applicazione daemon copiato in precedenza.
   • Enter_the_Web_Api_Application_Id_Here e sostituirlo con l'ID applicazione (client) dell'API Web copiata in precedenza.

Per usare la registrazione dell'app nell'esempio di API Web:

1. Nel tuo editor di codice, apri il file ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListAPI/appsettings.json.

2. Trova il segnaposto:

   • Enter_the_Application_Id_Here e sostituirlo con l'ID applicazione (client) dell'API Web copiata.
   • Enter_the_Tenant_Id_Here e sostituirlo con l'ID di directory (tenant) copiato in precedenza.
   • Enter_the_Tenant_Subdomain_Here e sostituirlo con il sottodominio Directory (tenant). Ad esempio, se il dominio primario del tenant è contoso.onmicrosoft.com, usare contoso. Se non hai il nome del tenant, scopri come leggere i dettagli del tenant.

1. Aprire una finestra della console, quindi eseguire l'API Web usando i comandi seguenti:

   cd 2-Authorization\3-call-api-node-daemon\API\ToDoListAPI
   dotnet run
   

2. Eseguire il client dell'app Web usando i comandi seguenti:

   2-Authorization\3-call-api-node-daemon\App
   node . --op getToDos
   

Se l'app daemon e l'API Web vengono eseguite correttamente, nella finestra della console dovrebbe essere visualizzato un aspetto simile alla matrice JSON seguente.

{
    "id": 1,
    "owner": "3e8....-db63-43a2-a767-5d7db...",
    "description": "Pick up grocery"
},
{
    "id": 2,
    "owner": "c3cc....-c4ec-4531-a197-cb919ed.....",
    "description": "Finish invoice report"
},
{
    "id": 3,
    "owner": "a35e....-3b8a-4632-8c4f-ffb840d.....",
    "description": "Water plants"
}

Come funziona

L'app Node.js usa il flusso di concessione delle credenziali client OAuth 2.0 per acquisire un token di accesso per se stesso e non per l'utente. Il token di accesso che l'app richiede contiene le autorizzazioni rappresentate come ruoli. Il flusso delle credenziali client usa questo set di autorizzazioni al posto degli ambiti utente per i token dell'applicazione. Hai esposto queste autorizzazioni dell'applicazione nell'API web in precedenza, poi le hai concesse all'applicazione daemon.

Sul lato API, un'API Web .NET di esempio, l'API deve verificare che il token di accesso disponga delle autorizzazioni necessarie (autorizzazioni dell'applicazione). L'API Web non può accettare un token di accesso che non dispone delle autorizzazioni necessarie.

Accesso ai dati

Un endpoint API Web deve essere preparato per accettare chiamate da utenti e applicazioni. Pertanto, deve avere un modo per rispondere a ogni richiesta di conseguenza. Ad esempio, una chiamata effettuata da un utente tramite autorizzazioni delegate/ambiti riceve l'elenco dei dati to-do dell'utente. D'altra parte, una chiamata da un'applicazione tramite autorizzazioni/ruoli dell'applicazione può ricevere l'intero elenco di to-do. Tuttavia, in questo articolo viene eseguita solo una chiamata all'applicazione, quindi non è necessario configurare autorizzazioni/ambiti delegati.

1. Aprire una finestra della console, quindi eseguire l'API Web usando i comandi seguenti:

   cd 2-Authorization\3-call-own-api-dotnet-core-daemon\ToDoListAPI
   dotnet run
   

2. Eseguire il client daemon usando i comandi seguenti:

   cd 2-Authorization\3-call-own-api-dotnet-core-daemon\ToDoListClient
   dotnet run
   

   Se l'applicazione daemon e l'API Web vengono eseguite correttamente, nella finestra della console dovrebbe essere visualizzato un aspetto simile alla matrice JSON seguente:

   Posting a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 1
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Bake bread
   Posting a second to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 1
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Bake bread
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Butter bread
   Deleting a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Butter bread
   Editing a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Eat bread
   Deleting remaining to-do...
   Retrieving to-do's from server...
   There are no to-do's in server
   

Come funziona

L'applicazione daemon usa il flusso di concessione delle credenziali client OAuth 2.0 per acquisire un token di accesso per se stesso e non per l'utente. Il token di accesso che l'app richiede contiene le autorizzazioni rappresentate come ruoli. Il flusso delle credenziali client usa questo set di autorizzazioni al posto degli ambiti utente per i token dell'applicazione. Hai esposto queste autorizzazioni dell'applicazione nell'API web in precedenza, poi le hai concesse all'applicazione daemon. L'app daemon in questo articolo usa Microsoft Authentication Library per .NET per semplificare il processo di acquisizione di un token.

Sul lato API, un'API Web .NET di esempio, l'API deve verificare che il token di accesso disponga delle autorizzazioni necessarie (autorizzazioni dell'applicazione). L'API Web rifiuta i token di accesso che non dispongono delle autorizzazioni necessarie.

• Acquisire un token di accesso, quindi chiamare un'API Web nella propria app daemon Node.js.
• Usare un certificato client anziché un segreto per l'autenticazione nell'app riservata Node.js.

• Usa la nostra serie di esercitazioni in più sezioni per creare da zero questa app daemon .NET