具有客户端凭据的Microsoft Exchange-IMAP OAuth2

cbwuti44  于 2022-09-21  发布在  其他
关注(0)|答案(1)|浏览(252)

我正在编写应用程序,需要使用IMAP读取邮箱,但作为守护程序,没有用户交互。我需要使用OAuth2来获取访问权限。因为我需要它而无需用户交互,所以我需要使用客户端凭据流。这是今年6月增加的。

我从official documentation开始做了所有的事情。已注册的应用程序、添加的权限、使用PowerShell添加的邮箱权限。

当我获得作用域为https://outlook.office365.com/.default的请求访问令牌时,我收到的令牌具有角色IMAP.AccessAsApp,所以我相信这是正确的。我使用https://jwt.ms/来解析JWT。

例如,当我尝试在Java中使用此访问令牌进行身份验证时,问题就出现了

Properties props = new Properties();
    props.put("mail.imap.ssl.enable", "true");
    props.put("mail.imap.auth.mechanisms", "XOAUTH2");
    props.put("mail.debug", "true");

    Session session = Session.getInstance(props);
    Store store = session.getStore("imap");
    store.connect("outlook.office365.com", 993, "testing@mydomain.com", "accessToken");

我收到了AUTHENTICATE failed。我尝试了与使用授权码流接收的访问令牌相同的代码,这需要用户交互。使用该访问代码,我能够连接到邮箱。所以代码是正确的。

我甚至尝试用客户ID和服务ID代替电子邮件地址作为用户名,但没有成功。

我不确定我在哪里犯了错误,也不知道我是否使用了正确的用户名。如有任何帮助,我们不胜感激。

a1o7rhls

a1o7rhls1#

我写了同样的答案here,所以我在这里处理它。

我想我取得了一些进展。

我阅读了几次文档,从一开始就尝试了几次,但都出现了相同的错误。我甚至尝试使用客户端和对象ID而不是电子邮件作为用户名,因为没有更好的主意。

所以这就是我认为我以前犯了错误的地方。

在需要注册服务主体的部分,我需要执行

New-ServicePrincipal -AppId <APPLICATION_ID> -ServiceId <OBJECT_ID> [-Organization <ORGANIZATION_ID>]

在这里,我将企业应用程序对象ID作为ServiceID参数。这是可以的。

但在上

Add-MailboxPermission -Identity "email address removed for privacy reasons" -User 
<SERVICE_PRINCIPAL_ID> -AccessRights FullAccess

我已将已注册的应用程序对象ID作为用户参数。我也尝试了设置企业应用的对象ID,但没有成功。

当我执行死刑时

Get-ServicePrincipal -Organization <ORGANIZATION_ID> | fl

我没有注意到ServiceID属性,即使文档中指定了它,并说它将是不同的。

现在我清理了一切,重新开始了。

我再次执行了所有步骤,但在创建新服务主体的步骤中,我使用了来自企业应用程序视图的数据。当我需要添加邮件权限时,我会列出服务主体,然后使用输出中的ServiceId值作为用户的参数。

有了这一点,我才得以授权。

相关问题