ClientApplication Klasse
In der Regel verwenden Sie diese Klasse nicht direkt. Verwenden Sie stattdessen die Unterklassen: PublicClientApplication und ConfidentialClientApplication.
Erstellen Sie eine Anwendungsinstanz.
Konstruktor
ClientApplication(client_id, client_credential=None, authority=None, validate_authority=True, token_cache=None, http_client=None, verify=True, proxies=None, timeout=None, client_claims=None, app_name=None, app_version=None, client_capabilities=None, azure_region=None, exclude_scopes=None, http_cache=None, instance_discovery=None, allow_broker=None, enable_pii_log=None, oidc_authority=None)
Parameter
| Name | Beschreibung |
|---|---|
|
client_id
Erforderlich
|
Ihre App verfügt über eine client_id, nachdem Sie sie bei Microsoft Entra Admin Center registriert haben. |
|
client_credential
|
Verwenden PublicClientApplicationSie hier "Keine" . For ConfidentialClientApplication, it supports many different input formats for different scenarios. Unterstützung mithilfe eines geheimen Clientschlüssels. Nur Feed in einer Zeichenfolge, z
|
|
client_claims
|
In Version 0.5.0 hinzugefügt: Es handelt sich um ein Wörterbuch mit zusätzlichen Ansprüchen, die von diesem ConfidentialClientApplication privaten Schlüssel signiert werden. Sie können beispielsweise {"client_ip" verwenden: "x.x.x.x.x"}. Sie können auch einen der folgenden Standardansprüche außer Kraft setzen:
Standardwert: None
|
|
authority
|
Eine URL, die eine Tokenautorität identifiziert. Dies sollte das Format sein.
Geändert in Version 1.17: Sie können auch vordefinierte Konstanten und einen Generator wie folgt verwenden:
Standardwert: None
|
|
validate_authority
|
(optional) Aktiviert oder deaktiviert die Autoritätsüberprüfung. Dieser Parameter ist standardmäßig auf "true" festgelegt. Standardwert: True
|
|
token_cache
|
Legt den tokencache fest, der von dieser ClientApplication-Instanz verwendet wird. Standardmäßig wird ein Speichercache erstellt und verwendet. Standardwert: None
|
|
http_client
|
(optional) Ihre Implementierung der abstrakten Klasse HttpClient <msal.oauth2cli.http.http_client> Standard für eine Anforderungssitzungsinstanz. Da MSAL 1.11.0, wurde die Standardsitzung so konfiguriert, dass versucht wird, einen Wiederholungsfehler zu versuchen. Wenn Sie Ihre eigene http_client bereitstellen, müssen http_client Sie entscheiden, ob sie erneut versuchen möchten. Standardwert: None
|
|
verify
|
(optional) Er wird an den Verify-Parameter in der zugrunde liegenden Anforderungsbibliothek übergeben. Dies gilt nicht, wenn Sie sich entschieden haben, Ihren eigenen HTTP-Client zu übergeben. Standardwert: True
|
|
proxies
|
(optional) Sie wird an den Proxyparameter in der zugrunde liegenden Anforderungsbibliothek übergeben. Dies gilt nicht, wenn Sie sich entschieden haben, Ihren eigenen HTTP-Client zu übergeben. Standardwert: None
|
|
timeout
|
(optional) Sie wird an den Timeout-Parameter in der zugrunde liegenden Anforderungsbibliothek übergeben. Dies gilt nicht, wenn Sie sich entschieden haben, Ihren eigenen HTTP-Client zu übergeben. Standardwert: None
|
|
app_name
|
(optional) Sie können Ihren Anwendungsnamen für Microsoft Telemetriezwecke angeben. Der Standardwert ist "None", bedeutet, dass er nicht an Microsoft übergeben wird. Standardwert: None
|
|
app_version
|
(optional) Sie können Ihre Anwendungsversion für Microsoft Telemetriezwecke bereitstellen. Der Standardwert ist "None", bedeutet, dass er nicht an Microsoft übergeben wird. Standardwert: None
|
|
client_capabilities
|
(optional) Ermöglicht die Konfiguration einer oder mehrerer Clientfunktionen, z. B. ["CP1"]. Die Clientfunktion soll den Microsoft Identity Platform (STS) darüber informieren, wofür dieser Client geeignet ist, damit STS entscheiden kann, bestimmte Features zu aktivieren. Wenn der Client beispielsweise Anspruchsaufforderungen verarbeiten kann, stellt STS möglicherweise Zugriffstoken für kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) auf Ressourcen aus, wobei zu wissen ist, dass der Client diese Herausforderungen bewältigen kann, wenn die Ressource eine Anspruchsaufforderung ausgibt. Implementierungsdetails: Die Clientfunktion wird zur zeit mithilfe des Parameters "Claims" im Draht implementiert. MSAL kombiniert sie in einem Anspruchsparameter , den Sie später über eine der Abrufen-Token-Anforderung bereitstellen. Standardwert: None
|
|
azure_region
|
(optional) Weist MSAL an, den regionalen Entra-Tokendienst zu verwenden. Dieses Legacyfeature ist nur für Erstanbieteranwendungen verfügbar. Nur Unterstützt vier Werte:
Note Die automatische Ermittlung der Region wurde auf virtuellen Computern und auf Azure Functions getestet. Es ist unzuverlässig. Anwendungen, die diese Option verwenden, sollten ein kurzes Timeout konfigurieren. Weitere Details und die Werte der Regionszeichenfolge Sieh https://learn.microsoft.com/entra/msal/dotnet/resources/region-discovery-troubleshooting Neu in Version 1.12.0. Standardwert: None
|
|
exclude_scopes
|
(optional) In der Vergangenheit hardcodes MSAL offline_access Bereich, wodurch Ihre App längeren Zugriff auf die Daten des Benutzers haben würde.
Wenn dies für Ihre App unnötig oder nicht erwünscht ist, können Sie diesen Parameter jetzt verwenden, um eine Ausschlussliste mit Bereichen wie z Standardwert: None
|
|
http_cache
|
MSAL ist seit langem Zwischenspeicherungstoken in der Dieser Wenn Es sich bei Ihrer App um eine Befehlszeilen-App (CLI) handelt, sollten Sie Ihre http_cache über unterschiedliche CLI-Ausführung hinweg beibehalten. Das Format der permanenten Datei kann sich aufgrund des instabilen Protokolls ändern, sodass ihre Implementierung unerwartete Ladefehler tolerieren muss. Das folgende Rezept zeigt eine Möglichkeit, dies zu tun:
Inhalt innerhalb Inhalte innerhalb Neu in Version 1.16.0. Standardwert: None
|
|
instance_discovery
|
<xref:boolean>
In der Vergangenheit würde MSAL eine Verbindung mit einem zentralen Endpunkt herstellen, der sich befindet Dieser Parameter ist standardmäßig "None", wodurch die Instanzermittlung aktiviert wird. Wenn Sie einige Behörden kennen, mit denen MsAL mit as-isarbeiten kann, ohne Instance Discovery einzubeziehen, ist das empfohlene Muster:
Wenn Sie einige Behörden vorher noch nicht kennen, möchten Sie dennoch, dass MSAL alle von Ihnen bereitgestellten Autoritäten akzeptiert, können Sie die Neu in Version 1.19.0. Standardwert: None
|
|
allow_broker
|
<xref:boolean>
Deprecated. Verwenden Sie stattdessen Standardwert: None
|
|
enable_pii_log
|
<xref:boolean>
Wenn diese Option aktiviert ist, können Protokolle PII (personenbezogene Informationen) enthalten. Dies kann bei der Problembehandlung bei Brokerverhalten hilfreich sein. Das Standardverhalten lautet "False". Neu in Version 1.24.0. Standardwert: None
|
|
oidc_authority
|
In Version 1.28.0 hinzugefügt: Es handelt sich um eine URL, die eine OpenID Connect (OIDC)-Autorität des Formats Hinweis: Der Broker wird NICHT für die OIDC-Autorität verwendet. Standardwert: None
|
Methoden
| acquire_token_by_auth_code_flow |
Überprüfen Sie die Authentifizierungsantwort, die zurückgeleitet wird, und rufen Sie Token ab. Es bietet automatisch Nonce-Schutz. |
| acquire_token_by_authorization_code |
Die zweite Hälfte der Autorisierungscodegenehmigung. |
| acquire_token_by_refresh_token |
Abrufen von Token basierend auf einem Aktualisierungstoken (RT), das von einer anderen Stelle abgerufen wurde. Sie verwenden diese Methode nur, wenn Sie über alte RTs von anderen Orten verfügen, und jetzt möchten Sie sie in MSAL migrieren. Das Aufrufen dieser Methode führt dazu, dass neue Token automatisch in MSAL gespeichert werden. Sie müssen diese Methode NICHT verwenden, wenn Sie MSAL bereits verwenden. MSAL verwaltet RT automatisch im Tokencache, und ein Zugriffstoken kann abgerufen werden, wenn Sie aufrufen acquire_token_silent. |
| acquire_token_by_username_password |
Ruft ein Token für eine bestimmte Ressource über Benutzeranmeldeinformationen ab. Informationen zu Einschränkungen des Benutzernamen-Kennwortflusses finden Sie auf dieser Seite. https://github.com/AzureAD/microsoft-authentication-library-for-python/wiki/Username-Password-Authentication [Veraltet] Diese API ist für öffentliche Clientflüsse veraltet und wird in einer zukünftigen Version entfernt. Verwenden Sie stattdessen einen sichereren Ablauf. Migrationshandbuch: https://aka.ms/msal-ropc-migration |
| acquire_token_silent |
Rufen Sie ein Zugriffstoken für ein bestimmtes Konto ohne Benutzerinteraktion ab. Es hat dieselben Parameter wie die acquire_token_silent_with_error. Der Unterschied ist das Verhalten des Rückgabewerts. Mit dieser Methode wird der Cache leer und der Aktualisierungsfehler in einem Rückgabewert ( None) kombiniert. Wenn Ihre App sich nicht um den genauen Fehler bei der Tokenaktualisierung beim Nachschlagen des Tokencaches kümmert, ist diese Methode einfacher und empfohlen. |
| acquire_token_silent_with_error |
Rufen Sie ein Zugriffstoken für ein bestimmtes Konto ohne Benutzerinteraktion ab. Sie erfolgt entweder durch Suchen eines gültigen Zugriffstokens aus dem Cache oder durch Suchen eines gültigen Aktualisierungstokens aus dem Cache und anschließend automatisch zum Einlösen eines neuen Zugriffstokens. Diese Methode unterscheidet den Cache leer vom Tokenaktualisierungsfehler. Wenn Ihre App den genauen Tokenaktualisierungsfehler beim Nachschlagen des Tokencaches kümmert, ist diese Methode geeignet. Andernfalls wird die andere Methode acquire_token_silent empfohlen. |
| get_accounts |
Dient zum Abrufen einer Liste von Konten, die zuvor angemeldet sind, d. h. im Cache vorhanden ist. Ein Konto kann später verwendet acquire_token_silent werden, um seine Token zu finden. |
| get_authorization_request_url |
Erstellt eine URL zum Starten einer Autorisierungscodeerteilung. |
| initiate_auth_code_flow |
Initiieren eines Authentifizierungscodeflusses. Später, wenn die Antwort Ihre redirect_uri erreicht, können acquire_token_by_auth_code_flow Sie die Authentifizierung/Autorisierung abschließen. |
| is_pop_supported |
Gibt True zurück, wenn dieser Client Zugriffstoken für den Nachweis des Besitzes unterstützt. |
| remove_account |
Mich abmelden und mich aus dem Tokencache vergessen |
acquire_token_by_auth_code_flow
Überprüfen Sie die Authentifizierungsantwort, die zurückgeleitet wird, und rufen Sie Token ab.
Es bietet automatisch Nonce-Schutz.
acquire_token_by_auth_code_flow(auth_code_flow, auth_response, scopes=None, **kwargs)
Parameter
| Name | Beschreibung |
|---|---|
|
auth_code_flow
Erforderlich
|
Dasselbe Diktat, das von initiate_auth_code_flow. |
|
auth_response
Erforderlich
|
Ein Diktat der Abfragezeichenfolge, die vom Authentifizierungsserver empfangen wurde. |
|
scopes
|
Bereiche, die für den Zugriff auf eine geschützte API (eine Ressource) angefordert wurden. Meistens können Sie sie leer lassen. Wenn Sie die Zustimmung des Benutzers für mehrere Ressourcen angefordert haben, müssen Sie hier eine Teilmenge der erforderlichen initiate_auth_code_flowElemente angeben. OAuth2 wurde hauptsächlich für Singletondienste entwickelt, bei denen Token immer für dieselbe Ressource vorgesehen sind und die einzigen Änderungen in den Bereichen enthalten sind. In Microsoft Entra können Token für mehrere Drittanbieterressourcen ausgestellt werden. Sie können autorisierungscode für mehrere Ressourcen anfordern, aber wenn Sie ihn einlösen, ist das Token nur für einen vorgesehenen Empfänger, der als Zielgruppe bezeichnet wird. Daher muss der Entwickler einen Bereich angeben, damit wir das Token einschränken können, das für die entsprechende Zielgruppe ausgestellt wird. Standardwert: None
|
Gibt zurück
| Typ | Beschreibung |
|---|---|
|
acquire_token_by_authorization_code
Die zweite Hälfte der Autorisierungscodegenehmigung.
acquire_token_by_authorization_code(code, scopes, redirect_uri=None, nonce=None, claims_challenge=None, **kwargs)
Parameter
| Name | Beschreibung |
|---|---|
|
code
Erforderlich
|
Der vom Autorisierungsserver zurückgegebene Autorisierungscode. |
|
scopes
Erforderlich
|
(Erforderlich) Bereiche, die für den Zugriff auf eine geschützte API (eine Ressource) angefordert wurden. Wenn Sie die Benutzerzustimmung für mehrere Ressourcen angefordert haben, möchten Sie hier in der Regel eine Teilmenge der erforderlichen Elemente in AuthCode bereitstellen. OAuth2 wurde hauptsächlich für Singletondienste entwickelt, bei denen Token immer für dieselbe Ressource vorgesehen sind und die einzigen Änderungen in den Bereichen enthalten sind. In Microsoft Entra können Token für mehrere Drittanbieterressourcen ausgestellt werden. Sie können autorisierungscode für mehrere Ressourcen anfordern, aber wenn Sie ihn einlösen, ist das Token nur für einen vorgesehenen Empfänger, der als Zielgruppe bezeichnet wird. Daher muss der Entwickler einen Bereich angeben, damit wir das Token einschränken können, das für die entsprechende Zielgruppe ausgestellt wird. |
|
nonce
|
Wenn Sie beim Aufrufen get_authorization_request_urleine Nonce angegeben haben, sollte hier auch die gleiche Nonce bereitgestellt werden, damit wir sie überprüfen. Eine Ausnahme wird ausgelöst, wenn die Nonce in ID-Token nicht übereinstimmen. Standardwert: None
|
|
claims_challenge
|
Der claims_challenge Parameter fordert spezifische Ansprüche an, die vom Ressourcenanbieter in Form einer claims_challenge Direktive im www-authenticate-Header vom UserInfo-Endpunkt und/oder im ID-Token und/oder Zugriffstoken zurückgegeben werden. Es handelt sich um eine Zeichenfolge eines JSON-Objekts, das Listen von Ansprüchen enthält, die von diesen Speicherorten angefordert werden. Standardwert: None
|
|
redirect_uri
|
Standardwert: None
|
Gibt zurück
| Typ | Beschreibung |
|---|---|
|
Ein Diktat, das die JSON-Antwort von Microsoft Entra darstellt:
|
acquire_token_by_refresh_token
Abrufen von Token basierend auf einem Aktualisierungstoken (RT), das von einer anderen Stelle abgerufen wurde.
Sie verwenden diese Methode nur, wenn Sie über alte RTs von anderen Orten verfügen, und jetzt möchten Sie sie in MSAL migrieren. Das Aufrufen dieser Methode führt dazu, dass neue Token automatisch in MSAL gespeichert werden.
Sie müssen diese Methode NICHT verwenden, wenn Sie MSAL bereits verwenden. MSAL verwaltet RT automatisch im Tokencache, und ein Zugriffstoken kann abgerufen werden, wenn Sie aufrufen acquire_token_silent.
acquire_token_by_refresh_token(refresh_token, scopes, **kwargs)
Parameter
| Name | Beschreibung |
|---|---|
|
refresh_token
Erforderlich
|
Das alte Aktualisierungstoken als Zeichenfolge. |
|
scopes
Erforderlich
|
Die Bereiche, die diesem alten RT zugeordnet sind. Jeder Bereich muss sich im Microsoft Identity Platform (v2)-Format befinden. Siehe Bereiche, die keine Ressourcen sind. |
Gibt zurück
| Typ | Beschreibung |
|---|---|
|
acquire_token_by_username_password
Ruft ein Token für eine bestimmte Ressource über Benutzeranmeldeinformationen ab.
Informationen zu Einschränkungen des Benutzernamen-Kennwortflusses finden Sie auf dieser Seite. https://github.com/AzureAD/microsoft-authentication-library-for-python/wiki/Username-Password-Authentication
[Veraltet] Diese API ist für öffentliche Clientflüsse veraltet und wird in einer zukünftigen Version entfernt. Verwenden Sie stattdessen einen sichereren Ablauf. Migrationshandbuch: https://aka.ms/msal-ropc-migration
acquire_token_by_username_password(username, password, scopes, claims_challenge=None, auth_scheme=None, **kwargs)
Parameter
| Name | Beschreibung |
|---|---|
|
username
Erforderlich
|
In der Regel ein UPN in Form einer E-Mail-Adresse. |
|
password
Erforderlich
|
Das Kennwort. |
|
scopes
Erforderlich
|
Bereiche, die für den Zugriff auf eine geschützte API (eine Ressource) angefordert wurden. |
|
claims_challenge
|
Der claims_challenge Parameter fordert spezifische Ansprüche an, die vom Ressourcenanbieter in Form einer claims_challenge-Direktive im www-authenticate-Header vom UserInfo-Endpunkt und/oder im ID-Token und/oder Zugriffstoken zurückgegeben werden sollen. Es handelt sich um eine Zeichenfolge eines JSON-Objekts, das Listen von Ansprüchen enthält, die von diesen Speicherorten angefordert werden. Standardwert: None
|
|
auth_scheme
|
Sie können ein Neu in Version 1.26.0. Standardwert: None
|
Gibt zurück
| Typ | Beschreibung |
|---|---|
|
Ein Diktat, das die JSON-Antwort von Microsoft Entra darstellt:
|
acquire_token_silent
Rufen Sie ein Zugriffstoken für ein bestimmtes Konto ohne Benutzerinteraktion ab.
Es hat dieselben Parameter wie die acquire_token_silent_with_error. Der Unterschied ist das Verhalten des Rückgabewerts. Mit dieser Methode wird der Cache leer und der Aktualisierungsfehler in einem Rückgabewert ( None) kombiniert. Wenn Ihre App sich nicht um den genauen Fehler bei der Tokenaktualisierung beim Nachschlagen des Tokencaches kümmert, ist diese Methode einfacher und empfohlen.
acquire_token_silent(scopes, account, authority=None, force_refresh=False, claims_challenge=None, auth_scheme=None, **kwargs)
Parameter
| Name | Beschreibung |
|---|---|
|
scopes
Erforderlich
|
|
|
account
Erforderlich
|
|
|
authority
|
Standardwert: None
|
|
force_refresh
|
Standardwert: False
|
|
claims_challenge
|
Standardwert: None
|
|
auth_scheme
|
Standardwert: None
|
Gibt zurück
| Typ | Beschreibung |
|---|---|
|
acquire_token_silent_with_error
Rufen Sie ein Zugriffstoken für ein bestimmtes Konto ohne Benutzerinteraktion ab.
Sie erfolgt entweder durch Suchen eines gültigen Zugriffstokens aus dem Cache oder durch Suchen eines gültigen Aktualisierungstokens aus dem Cache und anschließend automatisch zum Einlösen eines neuen Zugriffstokens.
Diese Methode unterscheidet den Cache leer vom Tokenaktualisierungsfehler. Wenn Ihre App den genauen Tokenaktualisierungsfehler beim Nachschlagen des Tokencaches kümmert, ist diese Methode geeignet. Andernfalls wird die andere Methode acquire_token_silent empfohlen.
acquire_token_silent_with_error(scopes, account, authority=None, force_refresh=False, claims_challenge=None, auth_scheme=None, **kwargs)
Parameter
| Name | Beschreibung |
|---|---|
|
scopes
Erforderlich
|
(Erforderlich) Bereiche, die für den Zugriff auf eine geschützte API (eine Ressource) angefordert wurden. |
|
account
Erforderlich
|
(Erforderlich) Eines der kontoobjekt, von get_accountsdem zurückgegeben wird.
Ab MSAL Python 1.23 wird eine |
|
force_refresh
|
Wenn True, wird die Zugriffstokensuche übersprungen und versucht, ein Aktualisierungstoken zu finden, um ein neues Zugriffstoken abzurufen. Standardwert: False
|
|
claims_challenge
|
Der claims_challenge Parameter fordert spezifische Ansprüche an, die vom Ressourcenanbieter in Form einer claims_challenge Direktive im www-authenticate-Header vom UserInfo-Endpunkt und/oder im ID-Token und/oder Zugriffstoken zurückgegeben werden. Es handelt sich um eine Zeichenfolge eines JSON-Objekts, das Listen von Ansprüchen enthält, die von diesen Speicherorten angefordert werden. Standardwert: None
|
|
auth_scheme
|
Sie können ein Neu in Version 1.26.0. Standardwert: None
|
|
authority
|
Standardwert: None
|
Gibt zurück
| Typ | Beschreibung |
|---|---|
|
get_accounts
Dient zum Abrufen einer Liste von Konten, die zuvor angemeldet sind, d. h. im Cache vorhanden ist.
Ein Konto kann später verwendet acquire_token_silent werden, um seine Token zu finden.
get_accounts(username=None)
Parameter
| Name | Beschreibung |
|---|---|
|
username
|
Filtert Konten nur mit diesem Benutzernamen. Schreibungsunabhängig. Standardwert: None
|
Gibt zurück
| Typ | Beschreibung |
|---|---|
|
Eine Liste von Kontoobjekten. Jedes Konto ist ein Diktat. Bisher dokumentieren wir nur das Feld "Benutzername". Ihre App kann diese Informationen dem Endbenutzer anzeigen und dem Benutzer die Auswahl eines seiner Konten ermöglichen, um den Vorgang fortzusetzen. |
get_authorization_request_url
Erstellt eine URL zum Starten einer Autorisierungscodeerteilung.
get_authorization_request_url(scopes, login_hint=None, state=None, redirect_uri=None, response_type='code', prompt=None, nonce=None, domain_hint=None, claims_challenge=None, **kwargs)
Parameter
| Name | Beschreibung |
|---|---|
|
scopes
Erforderlich
|
(Erforderlich) Bereiche, die für den Zugriff auf eine geschützte API (eine Ressource) angefordert wurden. |
|
state
|
Empfohlen von OAuth2 für CSRF-Schutz. Standardwert: None
|
|
login_hint
|
Bezeichner des Benutzers. Im Allgemeinen ein Benutzerprinzipalname (User Principal Name, UPN). Standardwert: None
|
|
redirect_uri
|
Adresse, an die nach Erhalt einer Antwort der Behörde zurückgegeben werden soll. Standardwert: None
|
|
response_type
|
Der Standardwert ist "Code" für eine OAuth2-Autorisierungscodeerteilung. Sie könnten andere Inhalte wie "id_token" oder "Token" verwenden, die eine implizite Erteilung auslösen würden, dies wird jedoch nicht empfohlen. Standardwert: code
|
|
prompt
|
Standardmäßig wird kein Eingabeaufforderungswert gesendet, nicht einmal eine Zeichenfolge Standardwert: None
|
|
nonce
|
Ein kryptografisch zufälliger Wert, der verwendet wird, um Replay-Angriffe zu minimieren. Siehe auch OIDC-Spezifikationen. Standardwert: None
|
|
domain_hint
|
Kann einer von "Consumern" oder "Organisationen" oder Ihrer Mandantendomäne "contoso.com" sein. Wenn sie enthalten ist, wird der E-Mail-basierte Ermittlungsprozess übersprungen, den der Benutzer auf der Anmeldeseite durchläuft, was zu einer etwas optimierteren Benutzererfahrung führt. Weitere Informationen zu möglichen Werten, die in Auth Code Flow-Dokument und domain_hint Dokument verfügbar sind. Standardwert: None
|
|
claims_challenge
|
Der claims_challenge Parameter fordert spezifische Ansprüche an, die vom Ressourcenanbieter in Form einer claims_challenge-Direktive im www-authenticate-Header vom UserInfo-Endpunkt und/oder im ID-Token und/oder Zugriffstoken zurückgegeben werden sollen. Es handelt sich um eine Zeichenfolge eines JSON-Objekts, das Listen von Ansprüchen enthält, die von diesen Speicherorten angefordert werden. Standardwert: None
|
Gibt zurück
| Typ | Beschreibung |
|---|---|
|
Die Autorisierungs-URL als Zeichenfolge. |
initiate_auth_code_flow
Initiieren eines Authentifizierungscodeflusses.
Später, wenn die Antwort Ihre redirect_uri erreicht, können acquire_token_by_auth_code_flow Sie die Authentifizierung/Autorisierung abschließen.
initiate_auth_code_flow(scopes, redirect_uri=None, state=None, prompt=None, login_hint=None, domain_hint=None, claims_challenge=None, max_age=None, response_mode=None)
Parameter
| Name | Beschreibung |
|---|---|
|
scopes
Erforderlich
|
Es handelt sich um eine Liste mit Zeichenfolgen mit Groß-/Kleinschreibung. |
|
redirect_uri
|
Dies ist optional. Wenn nicht angegeben, verwendet der Server die vorinstallierte. Standardwert: None
|
|
state
|
Ein nicht transparenter Wert, der vom Client verwendet wird, um den Zustand zwischen der Anforderung und dem Rückruf beizubehalten. Wenn sie nicht vorhanden ist, generiert diese Bibliothek automatisch eine intern. Standardwert: None
|
|
prompt
|
Standardmäßig wird kein Eingabeaufforderungswert gesendet, nicht einmal eine Zeichenfolge Standardwert: None
|
|
login_hint
|
Dies ist optional. Bezeichner des Benutzers. Im Allgemeinen ein Benutzerprinzipalname (User Principal Name, UPN). Standardwert: None
|
|
domain_hint
|
Kann einer von "Consumern" oder "Organisationen" oder Ihrer Mandantendomäne "contoso.com" sein. Wenn sie enthalten ist, wird der E-Mail-basierte Ermittlungsprozess übersprungen, den der Benutzer auf der Anmeldeseite durchläuft, was zu einer etwas optimierteren Benutzererfahrung führt. Weitere Informationen zu möglichen Werten, die in Auth Code Flow-Dokument und domain_hint Dokument verfügbar sind. Standardwert: None
|
|
max_age
|
Optional. Maximales Authentifizierungsalter. Gibt die zulässige verstrichene Zeit seit der letzten Authentifizierung des End-User in Sekunden an. Wenn die verstrichene Zeit größer als dieser Wert ist, wird Microsoft Identity Platform den Endbenutzer aktiv erneut authentifizieren. MSAL-Python überprüft auch automatisch den auth_time im ID-Token. Neu in Version 1.15. Standardwert: None
|
|
response_mode
|
Optional. Gibt die Methode an, mit der Antwortparameter zurückgegeben werden sollen.
Der Standardwert entspricht Note Sie sollten Ihr Webframework so konfigurieren, dass form_post Antworten anstelle von Abfrageantworten akzeptiert werden. Während dieser Parameter noch funktioniert, wird er in einer zukünftigen Version entfernt. Die Verwendung abfragebasierter Antwortmodi ist weniger sicher und sollte vermieden werden. Standardwert: None
|
|
claims_challenge
|
Standardwert: None
|
Gibt zurück
| Typ | Beschreibung |
|---|---|
|
Der Authentifizierungscodefluss. Es handelt sich um ein Diktat in dieser Form:
Der Aufrufer wird erwartet, dass:
|
is_pop_supported
Gibt True zurück, wenn dieser Client Zugriffstoken für den Nachweis des Besitzes unterstützt.
is_pop_supported()
remove_account
Mich abmelden und mich aus dem Tokencache vergessen
remove_account(account)
Parameter
| Name | Beschreibung |
|---|---|
|
account
Erforderlich
|
|
Attribute
ACQUIRE_TOKEN_BY_AUTHORIZATION_CODE_ID
ACQUIRE_TOKEN_BY_AUTHORIZATION_CODE_ID = '832'
ACQUIRE_TOKEN_BY_DEVICE_FLOW_ID
ACQUIRE_TOKEN_BY_DEVICE_FLOW_ID = '622'
ACQUIRE_TOKEN_BY_REFRESH_TOKEN
ACQUIRE_TOKEN_BY_REFRESH_TOKEN = '85'
ACQUIRE_TOKEN_BY_USERNAME_PASSWORD_ID
ACQUIRE_TOKEN_BY_USERNAME_PASSWORD_ID = '301'
ACQUIRE_TOKEN_FOR_CLIENT_ID
ACQUIRE_TOKEN_FOR_CLIENT_ID = '730'
ACQUIRE_TOKEN_INTERACTIVE
ACQUIRE_TOKEN_INTERACTIVE = '169'
ACQUIRE_TOKEN_ON_BEHALF_OF_ID
ACQUIRE_TOKEN_ON_BEHALF_OF_ID = '523'
ACQUIRE_TOKEN_SILENT_ID
ACQUIRE_TOKEN_SILENT_ID = '84'
ATTEMPT_REGION_DISCOVERY
ATTEMPT_REGION_DISCOVERY = True
DISABLE_MSAL_FORCE_REGION
DISABLE_MSAL_FORCE_REGION = False
GET_ACCOUNTS_ID
GET_ACCOUNTS_ID = '902'
REMOVE_ACCOUNT_ID
REMOVE_ACCOUNT_ID = '903'