빠른 시작: 샘플 디먼 앱에서 웹 API 호출

• 최소 요구 사항은 .NET 6.0 SDK입니다.
• Visual Studio 2022 또는 Visual Studio Code .

• Node.js
• Visual Studio Code 또는 다른 코드 편집기.

• 파이썬 3+.
• Visual Studio Code 또는 다른 코드 편집기.

• JDK(Java Development Kit) 8 이상.
• 메이븐.
• 적합한 코드 편집기입니다.

.NET 디먼 앱의 경우 사용 권한을 부여하고 동의할 필요가 없습니다. 이 디먼 앱은 자체 앱 등록 정보를 읽으므로 애플리케이션 권한을 부여하지 않고도 읽을 수 있습니다.

1. 앱 등록 페이지에서 만든 애플리케이션(예: ciam-client-app)을 선택합니다.

2. 관리아래에서 API 권한을선택합니다.

3. 구성된 권한에서 사용 권한 추가를 선택합니다.

4. Microsoft APIs 탭에서 Microsoft Graph >> 애플리케이션 권한을 선택합니다. 애플리케이션 사용 권한 옵션을 선택합니다. 앱은 사용자를 대신하여 로그인하지 않고 그 자체로 로그인합니다.

5. 사용 권한 선택 목록에서 User.Read.All를 검색하여 선택합니다. 앱에서 모든 사용자의 전체 프로필을 읽을 수 있도록 이 권한을 부여합니다.

6. 권한 추가 단추를 선택합니다.

7. 이 시점에서 사용 권한을 올바르게 할당했습니다. 그러나 디먼 앱은 사용자가 상호 작용할 수 없으므로 사용자 자체는 이러한 권한에 동의할 수 없습니다. 테넌트 관리자는 테넌트에 있는 모든 사용자를 대신하여 이러한 권한에 동의해야 합니다.

   1. 테넌트 이름<>에 대한 관리자 동의 부여()을 선택한 다음, 예을 선택합니다.
   2. 새로 고침을선택한 다음, 테넌트 이름<>대해 부여된 두 권한에 대한 상태 표시되는지 확인합니다.

1. 앱 등록 페이지에서 만든 애플리케이션(예: ciam-client-app)을 선택합니다.

2. 관리아래에서 API 권한을선택합니다.

3. 구성된 권한에서 사용 권한 추가를 선택합니다.

4. Microsoft APIs 탭에서 Microsoft Graph >> 애플리케이션 권한을 선택합니다. 애플리케이션 사용 권한 옵션을 선택합니다. 앱은 사용자를 대신하여 로그인하지 않고 그 자체로 로그인합니다.

5. 사용 권한 선택 목록에서 User.Read.All를 검색하여 선택합니다. 앱에서 모든 사용자의 전체 프로필을 읽을 수 있도록 이 권한을 부여합니다.

6. 권한 추가 단추를 선택합니다.

7. 이 시점에서 사용 권한을 올바르게 할당했습니다. 그러나 디먼 앱은 사용자가 상호 작용할 수 없으므로 사용자 자체는 이러한 권한에 동의할 수 없습니다. 테넌트 관리자는 테넌트에 있는 모든 사용자를 대신하여 이러한 권한에 동의해야 합니다.

   1. 테넌트 이름<>에 대한 관리자 동의 부여()을 선택한 다음, 예을 선택합니다.
   2. 새로 고침을선택한 다음, 테넌트 이름<>대해 부여된 두 권한에 대한 상태 표시되는지 확인합니다.

1. 앱 등록 페이지에서 만든 애플리케이션(예: ciam-client-app)을 선택합니다.

2. 관리아래에서 API 권한을선택합니다.

3. 구성된 권한에서 사용 권한 추가를 선택합니다.

4. Microsoft APIs 탭에서 Microsoft Graph >> 애플리케이션 권한을 선택합니다. 애플리케이션 사용 권한 옵션을 선택합니다. 앱은 사용자를 대신하여 로그인하지 않고 그 자체로 로그인합니다.

5. 사용 권한 선택 목록에서 User.Read.All를 검색하여 선택합니다. 앱에서 모든 사용자의 전체 프로필을 읽을 수 있도록 이 권한을 부여합니다.

6. 권한 추가 단추를 선택합니다.

7. 이 시점에서 사용 권한을 올바르게 할당했습니다. 그러나 디먼 앱은 사용자가 상호 작용할 수 없으므로 사용자 자체는 이러한 권한에 동의할 수 없습니다. 테넌트 관리자는 테넌트에 있는 모든 사용자를 대신하여 이러한 권한에 동의해야 합니다.

   1. 테넌트 이름<>에 대한 관리자 동의 부여()을 선택한 다음, 예을 선택합니다.
   2. 새로 고침을선택한 다음, 테넌트 이름<>대해 부여된 두 권한에 대한 상태 표시되는지 확인합니다.

git clone https://github.com/Azure-Samples/ms-identity-docs-code-dotnet.git

• .zip 파일다운로드합니다. 이름 길이가 260자 미만인 파일 경로로 추출합니다.

git clone https://github.com/azure-samples/ms-identity-javascript-nodejs-console.git 

• .zip 파일다운로드합니다. 이름 길이가 260자 미만인 파일 경로로 추출합니다.

git clone https://github.com/Azure-Samples/ms-identity-python-daemon.git 

• .zip 파일다운로드합니다. 이름 길이가 260자 미만인 파일 경로로 추출합니다.

git clone https://github.com/Azure-Samples/ms-identity-java-daemon.git

• .zip 파일다운로드합니다. 이름 길이가 260자 미만인 파일 경로로 추출합니다.

1. 콘솔 창을 연 다음 ms-identity-docs-code-dotnet/console-daemon 디렉터리로 이동합니다.

   cd ms-identity-docs-code-dotnet/console-daemon
   

2. Program.cs 열고 파일 내용을 다음 코드 조각으로 바꿉니다.

    // Full directory URL, in the form of https://login.microsoftonline.com/<tenant_id>
    Authority = " https://login.microsoftonline.com/Enter_the_tenant_ID_obtained_from_the_Microsoft_Entra_admin_center",
    // 'Enter the client ID obtained from the Microsoft Entra admin center
    ClientId = "Enter the client ID obtained from the Microsoft Entra admin center",
    // Client secret 'Value' (not its ID) from 'Client secrets' in the Microsoft Entra admin center
    ClientSecret = "Enter the client secret value obtained from the Microsoft Entra admin center",
    // Client 'Object ID' of app registration in Microsoft Entra admin center - this value is a GUID
    ClientObjectId = "Enter the client Object ID obtained from the Microsoft Entra admin center"
   

   • Authority - 인증 기관은 MSAL이 토큰을 요청할 수 있는 디렉터리를 나타내는 URL입니다. Microsoft_Entra_관리_센터에서_획득한_테넌트_ID를_입력하세요 이전에 기록된 디렉터리(테넌트) ID 값으로 변경하세요.
   • ClientId - 클라이언트라고도 하는 애플리케이션의 식별자입니다. 따옴표로 된 텍스트를 등록된 애플리케이션의 개요 페이지에서 이전에 기록된 Application (client) ID 값으로 바꿉니다.
   • ClientSecret - Microsoft Entra 관리 센터에서 애플리케이션에 대해 만든 클라이언트 암호입니다. 클라이언트 암호의 값 입력합니다.
   • ClientObjectId - 클라이언트 애플리케이션의 개체 ID입니다. 따옴표로 된 텍스트를 등록된 애플리케이션의 개요 페이지에서 이전에 기록한 Object ID 값으로 바꿉니다.

편집기에서 .env 파일을 연 다음 자리 표시자를 바꿉다.

• 이전에 등록한 애플리케이션의 애플리케이션(클라이언트) ID를 사용하여 Enter_the_Application_Id_Here.
• 인력 테넌트의 테넌트 ID로 Enter_the_Tenant_Id_Here을 사용하세요.
• 이전에 만든 클라이언트 암호로 Enter_the_Client_Secret_Here을(를) 사용하세요.
• Enter_the_Cloud_Instance_Id_Here과 함께 https://login.microsoftonline.com.
• Enter_the_Graph_Endpoint_Here과 함께 https://graph.microsoft.com/.

1. 1-Call-MsGraph-WithSecret 디렉터리로 이동합니다.

2. 편집기에서 parameters.json 파일을 열고 자리 표시자를 대체합니다.

   • 이전에 등록한 애플리케이션의 애플리케이션(클라이언트) ID를 사용하여 Enter_the_Application_Id_Here.
   • 인력 테넌트의 테넌트 ID로 Enter_the_Tenant_Id_Here을 사용하세요.
   • 이전에 만든 클라이언트 암호로 Enter_the_Client_Secret_Here을(를) 사용하세요.

1. msal-client-credential-secret 디렉터리로 이동합니다.

2. 편집기에서 src\main\resources\application.properties 파일을 열고 자리 표시자를 바꿉다.

   • 이전에 등록한 애플리케이션의 애플리케이션(클라이언트) ID를 사용하여 Enter_the_Application_Id_Here.
   • 인력 테넌트의 테넌트 ID로 Enter_the_Tenant_Id_Here을 사용하세요.
   • 이전에 만든 클라이언트 암호로 Enter_the_Client_Secret_Here을(를) 사용하세요.

콘솔 창에서 다음 명령을 실행하여 애플리케이션을 빌드하고 실행합니다.

dotnet run

애플리케이션이 성공적으로 실행되면 다음 코드 조각과 유사한 응답을 표시합니다(간결성을 위해 단축됨).

{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#applications/$entity",
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
"deletedDateTime": null,
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"applicationTemplateId": null,
"disabledByMicrosoftStatus": null,
"createdDateTime": "2021-01-17T15:30:55Z",
"displayName": "identity-dotnet-console-app",
"description": null,
"groupMembershipClaims": null,
...
}

작동 방식

디먼 애플리케이션은 사용자를 대신하여 토큰을 획득하지 않습니다. 사용자는 자신의 ID가 필요하기 때문에 디먼 애플리케이션과 상호 작용할 수 없습니다. 이 유형의 애플리케이션은 애플리케이션 ID, 자격 증명(비밀 또는 인증서) 및 애플리케이션 ID URI를 제공하여 애플리케이션 ID를 사용하여 액세스 토큰을 요청합니다. 디먼 애플리케이션은 표준 OAuth 2.0 클라이언트 자격 증명 부여 흐름 사용하여 액세스 토큰을 획득합니다.

앱은 Microsoft ID 플랫폼에서 액세스 토큰을 획득합니다. 액세스 토큰의 범위는 Microsoft Graph API로 지정됩니다. 그런 다음, 앱은 액세스 토큰을 사용하여 Microsoft Graph API에서 자체 애플리케이션 등록 세부 정보를 요청합니다. 액세스 토큰에 올바른 권한이 있는 한 앱은 Microsoft Graph API에서 모든 리소스를 요청할 수 있습니다.

이 샘플에서는 사용자 ID 대신 애플리케이션 ID를 사용하여 무인 작업 또는 Windows 서비스를 실행하는 방법을 보여 줍니다.

1. 종속성을 설치하려면 다음 명령을 실행합니다.

   npm install
   

2. 다음 명령을 사용하여 애플리케이션을 실행합니다.

   node . --op getUsers
   

앱이 성공적으로 실행되면 인력 테넌트의 모든 사용자 목록을 나타내는 JSON 형식의 출력이 표시됩니다. 다음 코드 조각과 비슷합니다.

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

작동 방식

디먼 애플리케이션은 사용자를 대신하여 토큰을 획득하지 않습니다. 사용자는 자신의 ID가 필요하기 때문에 디먼 애플리케이션과 상호 작용할 수 없습니다. 이 유형의 애플리케이션은 애플리케이션 ID, 자격 증명(비밀 또는 인증서) 및 애플리케이션 ID URI를 제공하여 애플리케이션 ID를 사용하여 액세스 토큰을 요청합니다. 디먼 애플리케이션은 표준 OAuth 2.0 클라이언트 자격 증명 부여 흐름 사용하여 액세스 토큰을 획득합니다.

앱은 Microsoft ID 플랫폼에서 액세스 토큰을 획득합니다. 액세스 토큰의 범위는 Microsoft Graph API로 지정됩니다. 그런 다음 앱은 액세스 토큰을 사용하여 Microsoft Graph API에서 테넌트에 있는 모든 사용자를 읽습니다. 액세스 토큰에 올바른 권한이 있는 한 앱은 Microsoft Graph API에서 모든 리소스를 요청할 수 있습니다. 이 경우 모든 사용자의 전체 프로필을 읽을 수 있도록 앱 User.Read.All 앱 권한을 부여했습니다.

이 샘플에서는 사용자 ID 대신 애플리케이션 ID를 사용하여 무인 작업 또는 Windows 서비스를 실행하는 방법을 보여 줍니다.

1. 종속성을 설치하려면 다음 명령을 실행합니다.

   pip install -r requirements.txt
   

2. 애플리케이션을 실행하려면 다음 명령을 사용합니다.

   python confidential_client_secret_sample.py parameters.json
   

앱이 성공적으로 실행되면 인력 테넌트의 모든 사용자 목록을 나타내는 JSON 형식의 출력이 표시됩니다. 다음 코드 조각과 비슷합니다.

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

작동 방식

디먼 애플리케이션은 사용자를 대신하여 토큰을 획득하지 않습니다. 사용자는 자신의 ID가 필요하기 때문에 디먼 애플리케이션과 상호 작용할 수 없습니다. 이 유형의 애플리케이션은 애플리케이션 ID, 자격 증명(비밀 또는 인증서) 및 애플리케이션 ID URI를 제공하여 애플리케이션 ID를 사용하여 액세스 토큰을 요청합니다. 디먼 애플리케이션은 표준 OAuth 2.0 클라이언트 자격 증명 부여 흐름 사용하여 액세스 토큰을 획득합니다.

앱은 Microsoft ID 플랫폼에서 액세스 토큰을 획득합니다. 액세스 토큰의 범위는 Microsoft Graph API로 지정됩니다. 그런 다음 앱은 액세스 토큰을 사용하여 Microsoft Graph API에서 테넌트에 있는 모든 사용자를 읽습니다. 액세스 토큰에 올바른 권한이 있는 한 앱은 Microsoft Graph API에서 모든 리소스를 요청할 수 있습니다. 이 경우 모든 사용자의 전체 프로필을 읽을 수 있도록 앱 User.Read.All 앱 권한을 부여했습니다.

이 샘플에서는 사용자 ID 대신 애플리케이션 ID를 사용하여 무인 작업 또는 Windows 서비스를 실행하는 방법을 보여 줍니다.

IDE 또는 ClientCredentialGrant.java 기본 방법을 실행하여 샘플 앱을 테스트할 수 있습니다.

1. 콘솔에서 다음 명령을 실행합니다.

   $ mvn clean compile assembly:single
   

   이 명령은 /targets 디렉터리에 msal-client-credential-secret-1.0.0.jar 파일을 생성합니다.

2. /targets 디렉터리로 이동한 다음, 다음 명령을 사용하여 Java 실행 파일을 실행합니다.

   $ java -jar msal-client-credential-secret-1.0.0.jar
   

앱이 성공적으로 실행되면 인력 테넌트의 모든 사용자 목록을 나타내는 JSON 형식의 출력이 표시됩니다. 다음 코드 조각과 비슷합니다.

{
  '@odata.context': 'https://graph.microsoft.com/v1.0/$metadata#users',
  value: [
    {
      businessPhones: [],
      displayName: 'Casey Jensen',
      givenName: 'Jense',
      jobTitle: null,
      mail: null,
      mobilePhone: null,
      officeLocation: null,
      preferredLanguage: null,
      surname: 'Casey',
      userPrincipalName: 'jensen@contoso.onmicrosoft.com',
      id: 'aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb'
    },
    ...
  ]
}

작동 방식

디먼 애플리케이션은 사용자를 대신하여 토큰을 획득하지 않습니다. 사용자는 자신의 ID가 필요하기 때문에 디먼 애플리케이션과 상호 작용할 수 없습니다. 이 유형의 애플리케이션은 애플리케이션 ID, 자격 증명(비밀 또는 인증서) 및 애플리케이션 ID URI를 제공하여 애플리케이션 ID를 사용하여 액세스 토큰을 요청합니다. 디먼 애플리케이션은 표준 OAuth 2.0 클라이언트 자격 증명 부여 흐름 사용하여 액세스 토큰을 획득합니다.

앱은 Microsoft ID 플랫폼에서 액세스 토큰을 획득합니다. 액세스 토큰의 범위는 Microsoft Graph API로 지정됩니다. 그런 다음 앱은 액세스 토큰을 사용하여 Microsoft Graph API에서 테넌트에 있는 모든 사용자를 읽습니다. 액세스 토큰에 올바른 권한이 있는 한 앱은 Microsoft Graph API에서 모든 리소스를 요청할 수 있습니다. 이 경우 모든 사용자의 전체 프로필을 읽을 수 있도록 앱 User.Read.All 앱 권한을 부여했습니다.

이 샘플에서는 사용자 ID 대신 애플리케이션 ID를 사용하여 무인 작업 또는 Windows 서비스를 실행하는 방법을 보여 줍니다.

• ASP.NET 웹앱을 구축하여 학습하는 방법을 시리즈 자습서에서 Microsoft ID 플랫폼에 애플리케이션을 등록하는 방법을 통해 알아보세요.

• 빠른 시작: ASP.NET 웹앱을 Azure 앱 서비스에 배포

• web API호출하는 Node.js 디먼 애플리케이션을 빌드하는 방법을 알아봅니다.

• 웹 API 호출하는 Python 디먼 애플리케이션을 빌드하는 방법을 알아봅니다.

• 웹 API 호출하는 Java 디먼 애플리케이션을 빌드하는 방법을 알아봅니다.

• 샘플을 복제하려면 명령 프롬프트를 열고 프로젝트를 만들 위치로 이동하고 다음 명령을 입력합니다.

  git clone https://github.com/Azure-Samples/ms-identity-ciam-javascript-tutorial.git
  

• 샘플 .zip 파일를 다운로드한 후, 이름 길이가 260자 미만인 파일 경로로 추출하십시오.

프로젝트 종속성 설치

1. 콘솔 창을 열고 Node.js 샘플 앱이 포함된 디렉터리로 변경합니다.

   cd 2-Authorization\3-call-api-node-daemon\App
   

2. 다음 명령을 실행하여 앱 종속성을 설치합니다.

   npm install && npm update
   

• 샘플을 복제하려면 명령 프롬프트를 열고 프로젝트를 만들 위치로 이동하고 다음 명령을 입력합니다.

  git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git
  

• .zip 파일다운로드합니다. 이름 길이가 260자 미만인 파일 경로로 추출합니다.

1. 코드 편집기에서 App\authConfig.js 파일을 엽니다.

2. 자리 표시자를 찾으세요.

   • Enter_the_Application_Id_Here 이전에 등록한 디먼 앱의 애플리케이션(클라이언트) ID로 바꿉니다.

   • Enter_the_Tenant_Subdomain_Here 디렉터리(테넌트) 하위 도메인으로 바꿉니다. 예를 들어 테넌트 주 도메인이 contoso.onmicrosoft.com경우 contoso사용합니다. 테넌트 이름이 없는 경우 테넌트 세부 정보를 읽는 방법을알아봅니다.

   • Enter_the_Client_Secret_Here 이전에 복사한 디먼 앱 비밀 값으로 바꿉니다.

   • Enter_the_Web_Api_Application_Id_Here 이전에 복사한 웹 API의 애플리케이션(클라이언트) ID로 바꿉니다.

웹 API 샘플에서 앱 등록을 사용하려면 다음을 수행합니다.

1. 코드 편집기에서 API\ToDoListAPI\appsettings.json 파일을 엽니다.

2. 자리 표시자를 찾으세요.

   • Enter_the_Application_Id_Here 복사한 웹 API의 애플리케이션(클라이언트) ID로 바꿉니다.

   • Enter_the_Tenant_Id_Here 이전에 복사한 디렉터리(테넌트) ID로 바꿉니다.

   • Enter_the_Tenant_Subdomain_Here 디렉터리(테넌트) 하위 도메인으로 바꿉니다. 예를 들어 테넌트 주 도메인이 contoso.onmicrosoft.com경우 contoso사용합니다. 테넌트 이름이 없는 경우 테넌트 세부 정보를 읽는 방법을알아봅니다.

1. 코드 편집기에서 ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListClient/appsettings.json 파일을 엽니다.

2. 자리 표시자를 찾으세요.

   • Enter_the_Application_Id_Here 이전에 등록한 디먼 애플리케이션의 애플리케이션(클라이언트) ID로 바꿉니다.
   • Enter_the_Tenant_Subdomain_Here 디렉터리(테넌트) 하위 도메인으로 바꿉니다. 예를 들어 테넌트 주 도메인이 contoso.onmicrosoft.com경우 contoso사용합니다. 테넌트 이름이 없는 경우 테넌트 세부 정보를 읽는 방법을알아봅니다.
   • Enter_the_Client_Secret_Here 이전에 복사한 디먼 애플리케이션 비밀 값으로 바꿉니다.
   • Enter_the_Web_Api_Application_Id_Here 이전에 복사한 웹 API의 애플리케이션(클라이언트) ID로 바꿉니다.

웹 API 샘플에서 앱 등록을 사용하려면 다음을 수행합니다.

1. 코드 편집기에서 ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListAPI/appsettings.json 파일을 엽니다.

2. 자리 표시자를 찾으세요.

   • Enter_the_Application_Id_Here 복사한 웹 API의 애플리케이션(클라이언트) ID로 바꿉니다.
   • Enter_the_Tenant_Id_Here 이전에 복사한 디렉터리(테넌트) ID로 바꿉니다.
   • Enter_the_Tenant_Subdomain_Here 디렉터리(테넌트) 하위 도메인으로 바꿉니다. 예를 들어 테넌트 주 도메인이 contoso.onmicrosoft.com경우 contoso사용합니다. 테넌트 이름이 없는 경우 테넌트 세부 정보를 읽는 방법을알아봅니다.

1. 콘솔 창을 열고 다음 명령을 사용하여 웹 API를 실행합니다.

   cd 2-Authorization\3-call-api-node-daemon\API\ToDoListAPI
   dotnet run
   

2. 다음 명령을 사용하여 웹앱 클라이언트를 실행합니다.

   2-Authorization\3-call-api-node-daemon\App
   node . --op getToDos
   

디먼 앱 및 웹 API가 성공적으로 실행되면 콘솔 창에 다음 JSON 배열과 유사한 항목이 표시됩니다.

{
    "id": 1,
    "owner": "3e8....-db63-43a2-a767-5d7db...",
    "description": "Pick up grocery"
},
{
    "id": 2,
    "owner": "c3cc....-c4ec-4531-a197-cb919ed.....",
    "description": "Finish invoice report"
},
{
    "id": 3,
    "owner": "a35e....-3b8a-4632-8c4f-ffb840d.....",
    "description": "Water plants"
}

작동 방식

Node.js 앱은 OAuth 2.0 클라이언트 자격 증명 부여 흐름 사용하여 사용자가 아닌 자체에 대한 액세스 토큰을 획득합니다. 앱이 요청하는 액세스 토큰에는 역할로 표시되는 권한이 포함됩니다. 클라이언트 자격 증명 흐름은 애플리케이션 토큰에 대한 사용자 범위 대신 이 권한 집합을 사용합니다. 이전에 웹 API에서 이러한 애플리케이션 권한을 노출한 디먼 앱 부여했습니다.

샘플 .NET 웹 API인 API 쪽에서 API는 액세스 토큰에 필요한 권한(애플리케이션 권한)이 있는지 확인해야 합니다. 웹 API는 필요한 권한이 없는 액세스 토큰을 수락할 수 없습니다.

데이터에 대한 액세스

Web API 엔드포인트는 사용자와 애플리케이션 모두에서 호출을 수락하도록 준비해야 합니다. 따라서 각 요청에 적절하게 응답하는 방법이 있어야 합니다. 예를 들어 위임된 권한/범위를 통해 사용자의 호출은 사용자의 데이터 to-do 목록을 받습니다. 반면 애플리케이션 권한/역할을 통해 애플리케이션에서 호출하면 전체 to-do 목록을 받을 수 있습니다. 그러나 이 문서에서는 애플리케이션 호출만 수행하므로 위임된 권한/범위를 구성할 필요가 없습니다.

1. 콘솔 창을 열고 다음 명령을 사용하여 웹 API를 실행합니다.

   cd 2-Authorization\3-call-own-api-dotnet-core-daemon\ToDoListAPI
   dotnet run
   

2. 다음 명령을 사용하여 디먼 클라이언트를 실행합니다.

   cd 2-Authorization\3-call-own-api-dotnet-core-daemon\ToDoListClient
   dotnet run
   

   디먼 애플리케이션 및 웹 API가 성공적으로 실행되는 경우 콘솔 창에 다음 JSON 배열과 유사한 항목이 표시됩니다.

   Posting a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 1
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Bake bread
   Posting a second to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 1
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Bake bread
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Butter bread
   Deleting a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Butter bread
   Editing a to-do...
   Retrieving to-do's from server...
   To-do data:
   ID: 2
   User ID: 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
   Message: Eat bread
   Deleting remaining to-do...
   Retrieving to-do's from server...
   There are no to-do's in server
   

작동 방식

디먼 애플리케이션은 OAuth 2.0 클라이언트 자격 증명 인증 흐름을 사용하여 사용자가 아닌 자신의 액세스 토큰을 획득합니다. 앱이 요청하는 액세스 토큰에는 역할로 표시되는 권한이 포함됩니다. 클라이언트 자격 증명 흐름은 애플리케이션 토큰에 대한 사용자 범위 대신 이 권한 집합을 사용합니다. 이전에 웹 API에서 이러한 애플리케이션 권한을 노출한 디먼 앱 부여했습니다. 이 문서의 디먼 앱은 .NET용 Microsoft 인증 라이브러리 사용하여 토큰 획득 프로세스를 간소화합니다.

샘플 .NET 웹 API인 API 쪽에서 API는 액세스 토큰에 필요한 권한(애플리케이션 권한)이 있는지 확인해야 합니다. 웹 API는 필요한 권한이 없는 액세스 토큰을 거부합니다.

• 액세스 토큰을 획득한 다음, 고유한 Node.js 디먼 앱웹 API를 호출합니다.
• Node.js 기밀 앱인증을 위해 비밀 대신 클라이언트 인증서를 사용합니다.

• 여러 부분으로 구성된 자습서 시리즈를 사용하여 이 .NET 데몬 앱을 처음부터 구축하세요