Microsoft Graph java SDK访问令牌为空 - 腾讯云开发者社区

文章/答案/技术大牛

发布

Office开发者计划-永久白嫖Office365

Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择 “委托的权限”配置（用户登录）（选择Calendars->Calendars.Read） “应用程序权限”配置（非用户登录）...Graph 浏览器是一种基于 Web 的工具，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 ...Postman 是一个可用于向 Microsoft Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例...http://localhost:8000 JAVA示例 Microsoft Graph & Java 入门 SDK引用：msgraph-sdk-java Java应用创建示例...：Github仓库 SDK引用参考，创建一个Springboot项目，引入maven依赖，随后编写接口测试主要步骤说明：注册应用、身份验证、API调用其API调用核心思路为 <1

11.3K3 2

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...login.microsoftonline.com/common/oauth2/v2.0/authorize；微软显示标准同意页面，列出请求的权限范围（scopes）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌...；应用使用令牌调用Microsoft Graph API。...2.4 攻击隐蔽性与影响绕过MFA：因使用刷新令牌，无需再次认证；规避EDR/邮件网关：无恶意附件或可疑URL；供应链渗透：若受害者为供应商员工，可进一步攻击其客户；勒索前置：批量下载敏感邮件与文件，为后续勒索提供素材

2371 0

您找到你想要的搜索结果了吗？

是的

没有找到

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

device_code换取访问令牌（access_token）和刷新令牌（refresh_token）。...以Microsoft Entra ID（原Azure AD）为例，设备授权端点为：POST https://login.microsoftonline.com/{tenant}/oauth2/v2.0/...refresh_token；利用令牌调用Microsoft Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...未来需推动更细粒度的权限委托机制（如Microsoft Graph Delegated Permissions with Scopes Restriction）。另一个挑战是刷新令牌的长期有效性。

1721 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

关键词：OAuth 2.0；钓鱼攻击；PhaaS；令牌劫持；条件访问；Microsoft Entra ID1 引言OAuth 2.0协议自标准化以来，已成为现代Web与移动应用实现第三方授权的事实标准。...其核心价值在于解耦资源所有者（用户）与客户端应用之间的凭证传递，转而依赖短期有效的访问令牌（Access Token）与长期有效的刷新令牌（Refresh Token）完成资源访问。...；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...前者有效期通常为1小时，后者可达90天（取决于租户策略）。攻击者利用刷新令牌可无限续期访问令牌，实现长期潜伏。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers

2811 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

2 OAuth 2.0在Microsoft Entra ID中的授权流程为理解攻击原理，需首先厘清合法OAuth授权流程。...以授权码模式（Authorization Code Flow）为例，典型步骤如下：用户访问第三方应用：例如点击“使用Microsoft登录”按钮；重定向至Microsoft登录页：URL包含client_id...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.3 令牌获取与持久化访问用户点击“同意”后，Microsoft将授权码发送至redirect_uri。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2431 0

使用SemanticKernel 进行智能应用开发（2023-10更新）

Semantic Kernel （SK）是一个开源的将大型语言模型（LLM）与流行的编程语言相结合的SDK，Microsoft将Semantic Kernel（简称SK）称为轻量级SDK，结合了OpenAI...SDK 提供对 Java、Python 和 C# 的支持。它提供了用于添加内存和AI服务的连接器，为应用程序创建模拟的“大脑”。...由于SK来自Microsoft，因此它有一个用于Microsoft Graph [14]的OOTB插件集成了大量的Microsoft 服务。...加入社区 Semantic Kernel 是一个强大的SDK，用于为您的Copilot Stack 构建AI编排器。...Graph：https://github.com/microsoft/semantic-kernel/tree/main/dotnet/src/Plugins/Plugins.MsGraph [15]

2.2K3 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

在此过程中，攻击者不仅捕获用户名与密码，更重要的是截获认证成功后返回的会话Cookie、OAuth 2.0访问令牌及刷新令牌（Refresh Token），从而实现无需凭证重放的持久化账户访问。...对于Microsoft Entra ID，关键令牌包括：Session Cookie：如ESTSAUTHPERSISTENT，有效期可达90天；Refresh Token：用于在后台静默获取新的访问令牌...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。.../.default返回的Access Token可立即用于读取邮件：GET /v1.0/me/messages HTTP/1.1Host: graph.microsoft.comAuthorization...刷新令牌生命周期过长：默认情况下，Microsoft Entra ID的刷新令牌有效期可达90天，且在用户未主动登出前持续有效。这为攻击者提供了长期潜伏窗口。

2371 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

攻击者在后台部署中间人（Adversary-in-the-Middle, AiTM）代理，实时截获授权码、访问令牌及会话Cookie，从而实现对企业邮箱、云存储及协作平台的长期控制。...Workspace账户的访问权限，从而合法获取高权限令牌。...攻击者服务器立即用该code向Google令牌端点交换访问令牌（access token）和刷新令牌（refresh token）：# 攻击者后端：用授权码换取令牌import requestsdef...攻击者引导用户访问一个空白页面，并显示如下提示：“请在另一台设备上打开 microsoft.com/devicelogin，输入代码：ABCD-EFGH”同时，攻击者通过WhatsApp联系目标：“为完成注册...Graph API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization:

2711 0

新的Azure通信服务（ACS）如何实现WebRTC？

管理API –包括用于创建用户和访问令牌的服务器端SDK 2....客户端SDK –适用于Web，Android和iOS，可将端点连接到通信服务器，以发送和接收来自PSTN和Microsoft Teams的音频/视频/屏幕共享以及媒体。 ?...房间访问权限的缺乏很有意思，（因为）如果知道房间ID，则每个访问令牌显然都具有加入每个房间的权限。...服务器端管理SDK Microsoft提供了用于创建用户和令牌的管理SDK，以支持C#，Python，Java和Node.js。...这些SDK将在受信任的应用程序中运行，并且需要在Azure控制台中创建的访问密钥。Microsoft通过支持主访问密钥和辅助访问密钥来支持访问密钥旋转而获得加分。其他特性其他一些高级功能： 1.

4.3K2 0

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

在此基础上，提出以“最小授权”“条件访问”“FIDO2强认证”为核心的纵深防御框架。...与此同时，以经济利益为导向的勒索软件团伙（如Black Basta、LockBit附属组织）也开始利用该技术作为初始访问向量。...device_code换取访问令牌（access_token）和刷新令牌（refresh_token）。...以Microsoft Entra ID为例，设备授权端点为：POST https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecodeContent-Type...建议：为高管、IT、财务人员强制启用FIDO2；在条件访问策略中要求高风险操作必须使用无密码认证。

2021 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

“为配合系统升级，请在5分钟内完成身份确认。”“您的 OneDrive 存储即将锁定，请验证设备以继续使用。”...授权完成后，攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌（Refresh Token），从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...更危险的是，一旦获得 Refresh Token，攻击者可长期维持访问，即使用户更改密码也无效——因为 OAuth 令牌独立于密码体系。...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近...部署条件访问（Conditional Access）策略限制高风险操作（如令牌颁发）仅允许从受信任设备、网络或地理位置发起。

2621 0

onedrive for business使用python上传文件

注册的客户端 ID 和密钥（客户端密码）从 OAuth 2 授权代码流收到的授权代码 OneDrive for Business API 终结点 URL OneDrive for Business 资源的访问令牌...在当前令牌到期时生成其他访问令牌的刷新令牌。...refresh_token': token['refresh_token'], 'grant_type': 'refresh_token', 'resource': 'https://graph.microsoft.com...r.status_code not in [200, 201, 202]: print("上传出错") break 遇到的几个坑终结点是https://graph.microsoft.com...onedrive的请求api是https://graph.microsoft.com/v1.0/me/drive，但是文档中以及网上教程写的是https://graph.microsoft.com/me

5.3K5 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一、引言近年来，随着企业向云办公平台（如Microsoft 365、Google Workspace）的大规模迁移，身份认证体系逐步从传统的用户名/密码模型转向基于令牌（token）的现代协议，其中OAuth...攻击者通过伪造合法服务（如Cloudflare验证页或微软账户修复向导），引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮，实则触发OAuth授权请求，将访问令牌（access...攻击者随即用该授权码向/token端点交换访问令牌与刷新令牌：POST https://login.microsoftonline.com/common/oauth2/v2.0/tokenContent-Type...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权...import requestsdef revoke_consent(user_id, app_id, access_token):url = f"https://graph.microsoft.com/

1861 0

云开发API连接器的最佳练习

[a3kjmosx7s.jpeg] Amazon Web Services，Microsoft Azure，Google Compute Engine等云服务提供商以及OpenStack，vCloud，...API认证每个云平台都使用不同类型的认证机制来访问API，了解这些认证机制很重要。.../ SOAP API 一些云平台/服务提供了环绕API的SDK，使开发人员可以轻松使用由平台/服务提供的特定于Python，Java，.NET，Ruby等的可编程SDK 根据他们的支持，使用LibCloud...如果它是一个REST API，那么它包括一个访问密钥和一个普通密钥。可以通过使用POSTMAN，RESTClient等工具验证平台或服务的API端点进行访问。...如果平台没有提供所需语言的SDK，则有APIMatic，AWS API网关等工具可帮助为API端点生成SDK。在连接器开发中使用SDK减少了开发工作。

5.3K8 0

云邮箱钓鱼攻击趋势与企业防御体系重构

值得注意的是，攻击成功后的横向移动成本极低——一旦获取有效会话令牌或MFA绕过权限，攻击者可直接访问企业通讯录、日历、OneDrive/Google Drive文件乃至财务审批流程，造成数据泄露、商业欺诈甚至供应链污染...2.3 身份层突破：从凭证窃取到会话劫持传统钓鱼目标为用户名与密码，但在MFA普及背景下，攻击者转向更高效的会话令牌窃取。...典型流程如下：用户在钓鱼页面输入凭据；攻击脚本实时将凭据转发至真实登录接口，完成身份验证；获取有效的会话Cookie或OAuth 2.0访问令牌；直接注入浏览器或API调用，绕过MFA校验。...Microsoft Graph API吊销会话示例：import requestsdef revoke_user_sessions(user_id, access_token):url = f"https...://graph.microsoft.com/v1.0/users/{user_id}/revokeSignInSessions"headers = {"Authorization": f"Bearer

2181 0

凭证窃取主导下的现代网络攻击链演化与防御体系构建

通过实际代码示例展示OAuth令牌审计、异常会话检测与SOAR联动强制轮换等关键技术实现，为组织构建面向身份面的新一代安全边界提供可落地的技术路径。...关键词：凭证窃取；钓鱼攻击；勒散软件；身份安全；零信任；FIDO2；条件访问；用户行为分析；SOAR1 引言传统网络安全模型长期以网络边界为核心，依赖防火墙、入侵检测系统（IDS）等外围控制手段。...例如，一个仅需读取日历的协作工具，常被授予“完全访问邮箱”权限，一旦该应用令牌泄露，攻击者可直接读取高管邮件。...典型路径如下：钓鱼获取员工凭证（含MFA绕过，如MFA疲劳攻击）；登录云控制台（如Azure AD、AWS IAM）；枚举高权限账户或服务主体；申请或窃取OAuth令牌/会话Cookie；通过Graph...login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/token"data = {'client_id': CLIENT_ID,'scope': 'https://graph.microsoft.com

2421 0

将终结点图添加到你的ASP.NET Core应用程序中

现在，我们将创建一个中间件，该中间件使用DfaGraphWriter将该图编写为HTTP响应。...在终结点路由系统中将图形公开为终结点具有如下优点和缺点：您可以轻松地向终结点添加授权。您可能不希望任何人都能查看此数据！图形终结点显示为系统中的终结点。这显然是正确的，但可能会很烦人。...安装Microsoft.AspNetCore.Mvc.Testing 将测试项目的元素更新为Sdk="Microsoft.NET.Sdk.Web"> 从测试项目中引用您的...如果您尝试从一个IHostedService中的DfaGraphWriter生成图表,该EndpointDataSource是空的。...，否则您的终结点列表将为空！

5.2K2 0

.NET周报【6月第4期 2023-06-25】

为 fsharpConf 2023 做好准备！...【英文】如何在 Java 中构建共享库并从 .NET 代码调用它 https://medium.com/@sixpeteunder/how-to-build-a-shared-library-in-java-and-call-it-from-dotnet-code-b47c22300456...如何从 .NET 调用构建为共享库的 Java 库。...【英文】使用委派权限和 Microsoft Graph 在 ASP.NET Core 中重置密码 https://damienbod.com/2023/06/19/reset-passwords-in-asp-net-core-using-delegated-permissions-and-microsoft-graph.../ 了解如何在 ASP.NET Core 应用程序中使用 Microsoft Graph 重置用户密码。

2K2 0

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

这里直译起来比较拗口，其实说白了，就是这个令牌用于谁，使用令牌去访问谁，谁就是audience。　　2，iss（Issuer）：颁发者。...3，使用 Client Credentials 访问资源客户端凭证模式，是最简单的授权模式，因为授权的流程仅发生在客户端和授权认证中心之间。适用场景为服务器与服务器之间的通信。　　...参数必传这时候，就又有人问了，为什么这里的 scope 参数的值和上面不一样，确实，我也有这个疑问，后来找到微软官方给我的文档解释道： Microsoft Graph 示例中，该值为 https...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点：在为应用配置的所有直接应用程序权限中，终结点应该为与要使用的资源关联的权限颁发令牌使用共享机密访问令牌请求：https://docs.microsoft.com

3K1 0

网络钓鱼对金融行业安全的威胁机制与防御体系构建

当前主流金融系统普遍部署多因素认证（MFA），但攻击者已发展出多种绕过手段：OAuth令牌窃取：通过诱导用户授权恶意第三方应用（如“账单同步助手”），获取对Microsoft 365或Google Workspace...2.3 凭证与令牌的持久化利用与传统密码窃取不同，现代钓鱼更注重获取可长期使用的访问凭证。...例如，攻击者在捕获OAuth授权码后，通过合法Token Endpoint兑换访问令牌（Access Token）与刷新令牌。后者有效期可达90天以上，且可在后台持续刷新，形成持久化访问通道。...定期审计与自动清理：利用Microsoft Graph API或Google Admin SDK定期扫描已授权应用，自动吊销60天未使用的令牌，并标记异常权限组合（如同时请求邮箱与云存储访问）。...令牌绑定与条件访问：将访问令牌与设备指纹、IP地理围栏、合规状态绑定，确保令牌仅在受信环境中有效。

1721 0

点击加载更多

Office开发者计划-永久白嫖Office365

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

高级OAuth钓鱼攻击的演化机制与防御体系构建

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

使用SemanticKernel 进行智能应用开发（2023-10更新）

VoidProxy平台对多因素认证的绕过机制与防御对策研究

基于OAuth滥用的定向钓鱼攻击与防御机制研究

新的Azure通信服务（ACS）如何实现WebRTC？

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

onedrive for business使用python上传文件

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

云开发API连接器的最佳练习

云邮箱钓鱼攻击趋势与企业防御体系重构

凭证窃取主导下的现代网络攻击链演化与防御体系构建

将终结点图添加到你的ASP.NET Core应用程序中

.NET周报【6月第4期 2023-06-25】

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

网络钓鱼对金融行业安全的威胁机制与防御体系构建

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐