客户端可以使用访问令牌安全调用受 Azure 保护的 Web API。 可以使用 Microsoft 身份验证库 (MSAL) 通过多种方式获取令牌。 某些方式需要用户通过 Web 浏览器进行交互，而另一些方式则不需要用户交互。 一般情况下，用于获取令牌的方式取决于应用程序是公共客户端应用程序（例如桌面或移动应用）还是机密客户端应用程序（例如 Web 应用、Web API 或守护程序应用程序）。

MSAL 在获取令牌后会缓存令牌。 在尝试通过其他方式获取令牌之前，应用程序代码应该先尝试以无提示方式从缓存中获取令牌。

你也可以清除令牌缓存，这可以通过从缓存中删除帐户来实现。 不过，这不会删除浏览器中的会话 Cookie。

范围是客户端应用程序可以请求访问的 Web API 公开的权限。 在发出身份验证请求以获取用于访问 Web API 的令牌时，客户端应用程序将请求用户许可这些范围。 使用 MSAL 可以获取令牌来访问面向开发人员的 Azure AD (v1.0) 和 Microsoft 标识平台 API。 v2.0 协议在请求中使用范围而不是资源。 根据 v2.0 终结点接受的令牌版本的 Web API 配置，该终结点会将访问令牌返回到 MSAL。

MSAL 的一些令牌获取方法需要使用 scopes 参数。 scopes 参数是一个字符串列表，这些字符串声明了所需的权限和所请求的资源。 广为人知的范围是 Microsoft Graph 权限。

在 MSAL 中也可以访问 v1.0 资源。 有关详细信息，请参阅 v1.0 应用程序的范围。

当应用程序需要请求对资源 API 具有特定权限的访问令牌时，请按 / 格式传递包含 API 的应用 ID URI 的范围。

适用于不同资源的一些示例范围值：

范围值的格式因接收访问令牌的资源 (API) 和其接受的 aud 声明值而异。

单纯对于 Microsoft Graph 而言，user.read 范围映射到 https://graph.microsoft.com/User.Read，这两种范围格式可以互换使用。

某些 Web API（例如 Azure 资源管理器 API (https://management.core.windows.net/)）要求在访问令牌的受众声明 (aud) 中使用尾随正斜杠 (/)。 在这种情况下，请将范围作为 https://management.core.windows.net//user_impersonation 传递，其中包括双正斜杠 (//)。

其他 API 可能要求不在范围值中包括方案或主机，并且仅需要应用 ID (GUID) 和范围名称，例如：

11111111-1111-1111-1111-111111111111/api.read

提示

如果下游资源不受你的控制，而你在将访问令牌传递给资源时收到 401 或其他错误，你可能需要尝试不同的范围值格式（例如，包含/不包含方案和主机）。

当应用程序提供的功能或其要求发生变化时，你可以根据需要使用范围参数请求其他权限。 这样的动态范围允许用户针对范围提供增量许可。

例如，你可以让用户登录，但最初拒绝他们访问任何资源。 然后，你可以在令牌获取方法中请求日历范围并获得用户的同意，从而让用户能够查看其日历。 例如，可以请求 https://graph.microsoft.com/User.Read 和 https://graph.microsoft.com/Calendar.Read 范围。

MSAL 维护一个令牌缓存（对于机密客户端应用程序，则会维护两个），获取令牌后会缓存令牌。 在许多情况下，尝试以无提示方式获取令牌会根据缓存中的令牌获取具有更多范围的另一个令牌。 此外，当某个令牌即将过期时可以刷新该令牌（因为令牌缓存中也包含一个刷新令牌）。

应用程序源代码应该先尝试以无提示方式从缓存中获取令牌。 如果方法调用返回“需要 UI”错误或异常，请尝试通过其他方式获取令牌。

但是，在下面的两个流中，不应尝试以无提示方式获取令牌：

对于使用 OpenID Connect 授权代码流的 Web 应用程序，控制器中的建议模式为：

一般情况下，获取令牌的方法取决于应用程序是公共客户端还是机密客户端应用程序。

在桌面和移动应用等公共客户端应用程序中，可以：

对于机密客户端应用程序（Web 应用、Web API 或类似于 Windows 服务的守护程序应用程序），可以：

当客户端请求访问令牌时，Azure AD 还会返回一条身份验证结果，其中包含有关访问令牌的元数据。 此信息包含访问令牌的过期时间及其有效范围。 此数据可让应用执行访问令牌的智能缓存，而无需分析访问令牌本身。 身份验证结果公开：