如何在单页应用中正确获取 Microsoft Graph 的访问令牌与刷新令牌

心靈之曲

发布时间：2026-01-03 12:36:09

408人浏览过

来源于php中文网

原创

如何在单页应用中正确获取 Microsoft Graph 的访问令牌与刷新令牌

本文详解在 javascript 单页应用（spa）中调用 microsoft identity platform 时，因认证流程误用导致“cross-origin token redemption is permitted only for the 'single-page application' client-type”错误的根本原因与标准解决方案。

该错误明确指出：跨域令牌兑换（即前端直接向 /token 端点发起 POST 请求换取 access_token 和 refresh_token）仅被允许用于注册为“单页应用（SPA）”类型的客户端，且必须严格配合符合规范的授权码流（Authorization Code Flow with PKCE）。

❌ 常见错误：误用 Client Credentials 流或传统 Authorization Code 流

许多开发者在前端 JavaScript 中尝试直接向 https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token 发起请求，并在 body 中传入 client_secret、grant_type=authorization_code 等参数——这本质上是将后端机密客户端（Web 应用）的流程错误地搬到了前端。由于浏览器环境无法安全存储 client_secret，Azure AD 明确拒绝此类跨域 token 请求，并抛出该错误。

⚠️ 注意：即使你在 Azure 门户中同时为应用配置了 “SPA” 和 “Web” 平台，实际请求行为决定校验逻辑。若请求携带 client_secret 或未启用 PKCE，系统仍按“非 SPA”方式校验并拒绝。

✅ 正确方案：使用 PKCE 增强的 Authorization Code Flow（推荐 MSAL.js）

现代 SPA 必须采用 Authorization Code Flow with PKCE（RFC 7636），它无需 client_secret，而是通过动态生成的 code_verifier/code_challenge 保障授权码安全性。最佳实践是使用官方 SDK：

Boba.video

AI动漫视频生成器

下载

示例：使用 MSAL Browser（v2.4+）获取 token（含自动刷新）

import { PublicClientApplication } from "@azure/msal-browser";

const msalConfig = {
  auth: {
    clientId: "YOUR_SPA_CLIENT_ID",
    authority: "https://login.microsoftonline.com/YOUR_TENANT_ID",
    redirectUri: window.location.origin,
  },
  cache: {
    cacheLocation: "sessionStorage",
    storeAuthStateInCookie: false,
  }
};

const msalInstance = new PublicClientApplication(msalConfig);

// 登录并获取 token（自动处理 PKCE、缓存、静默刷新）
async function acquireToken() {
  try {
    const loginResponse = await msalInstance.loginPopup({
      scopes: ["https://graph.microsoft.com/User.Read"]
    });

    const tokenResponse = await msalInstance.acquireTokenSilent({
      account: loginResponse.account,
      scopes: ["https://graph.microsoft.com/User.Read"],
      forceRefresh: false // 设为 true 可强制刷新（触发后台 refresh_token 流）
    });

    console.log("Access Token:", tokenResponse.accessToken);
    // ✅ refresh_token 由 MSAL 内部安全管理，不暴露给 JS；token 刷新全自动完成
  } catch (error) {
    console.error("Token acquisition failed:", error);
  }
}

关键要点：

✅ PublicClientApplication 专为 SPA 设计，默认启用 PKCE，无需手动构造 code_verifier；
✅ acquireTokenSilent() 在后台静默调用 /token 端点，使用 refresh_token 换取新 access_token，全程不暴露敏感凭据；
✅ 所有 token 存储在内存或 sessionStorage（可配），绝不依赖 client_secret；
❌ 不要自行实现 /authorize → /token 的原始 HTTP 调用链（尤其避免在前端发送 client_secret）。

? 补充验证：Azure 门户配置检查清单

确保应用注册满足以下全部条件：

平台配置：仅启用 Single-page application (SPA)，填写正确的重定向 URI（如 http://localhost:3000 或 https://yourdomain.com）；
API 权限：在 “API permissions” 中添加 User.Read 等所需 Graph 权限，并完成管理员同意（如需）；
隐式流：禁用 “Implicit grant and hybrid flows”（已弃用，MSAL v2 不需要）；
Client ID 复用：不要为同一应用混用 Web（含 secret）和 SPA 平台的 client_id —— SPA 必须使用独立的、仅注册为 SPA 类型的 client_id。

✅ 总结

问题现象	根本原因	解决路径
Cross-origin token redemption is permitted only for the 'Single-Page Application' client-type	前端尝试以机密客户端方式（如带 client_secret）调用 /token，违反 SPA 安全模型	✅ 使用 MSAL.js + PKCE 授权码流 ✅ 确保 Azure 应用仅注册为 SPA 类型 ✅ 禁用 client_secret、禁用隐式流

遵循以上方案，即可安全、合规地在浏览器中获取并自动刷新 Microsoft Graph 访问令牌，彻底规避该跨域令牌兑换限制错误。

使用 map 方法高效转换二维数组中的数值为百分比格式

JavaScript 多维数组中嵌套数值的批量转换（如小数转百分比）

如何在 Elementor 预览模式与前端模式下统一获取自定义小部件的设置数据

Flask 与 XMLHttpRequest 多文件上传的完整实践指南

如何彻底防止用户登出后通过浏览器后退按钮访问敏感页面

相关专题

登录token无效

登录token无效解决方法：1、检查token的有效期限，如果token已经过期，需要重新获取一个新的token；2、检查token的签名，如果签名不正确，需要重新获取一个新的token；3、检查密钥的正确性，如果密钥不正确，需要重新获取一个新的token；4、使用HTTPS协议传输token，建议使用HTTPS协议进行传输；5、使用双因素认证，双因素认证可以提高账户的安全性。

6560

2023.09.14

登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容，供大家免费下载体验。

840

2023.09.14

token怎么获取

获取token值的方法：1、小程序调用“wx.login()”获取临时登录凭证code，并回传到开发者服务器；2、开发者服务器以code换取，用户唯一标识openid和会话密钥“session_key”。想了解更详细的内容，可以阅读本专题下面的文章。

1090

2023.12.21

token什么意思

token是一种用于表示用户权限、记录交易信息、支付虚拟货币的数字货币。可以用来在特定的网络上进行交易，用来购买或出售特定的虚拟货币，也可以用来支付特定的服务费用。想了解更多token什么意思的相关内容可以访问本专题下面的文章。

1904

2024.03.01

js正则表达式

php中文网为大家提供各种js正则表达式语法大全以及各种js正则表达式使用的方法，还有更多js正则表达式的相关文章、相关下载、相关课程，供大家免费下载体验。

530

2023.06.20

js获取当前时间

JS全称JavaScript，是一种具有函数优先的轻量级，解释型或即时编译型的编程语言;它是一种属于网络的高级脚本语言，主要用于Web，常用来为网页添加各式各样的动态功能。js怎么获取当前时间呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

554

2023.07.28

js 字符串转数组

js字符串转数组的方法：1、使用“split()”方法；2、使用“Array.from()”方法；3、使用for循环遍历；4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容，供大家免费下载体验。

738

2023.08.03

js是什么意思

JS是JavaScript的缩写，它是一种广泛应用于网页开发的脚本语言。JavaScript是一种解释性的、基于对象和事件驱动的编程语言，通常用于为网页增加交互性和动态性。它可以在网页上实现复杂的功能和效果，如表单验证、页面元素操作、动画效果、数据交互等。

6065

2023.08.17

JavaScript浏览器渲染机制与前端性能优化实践

本专题围绕 JavaScript 在浏览器中的执行与渲染机制展开，系统讲解 DOM 构建、CSSOM 解析、重排与重绘原理，以及关键渲染路径优化方法。内容涵盖事件循环机制、异步任务调度、资源加载优化、代码拆分与懒加载等性能优化策略。通过真实前端项目案例，帮助开发者理解浏览器底层工作原理，并掌握提升网页加载速度与交互体验的实用技巧。

2026.03.06

热门下载

网站特效

网站源码

网站素材

前端模板