使用 Graph SDK 获取 OneDrive 自定义年限 Client Secret 的 API

前言#

通常情况下，我们都是直接在 Microsoft Azure 应用注册页面创建 OneDrive API。但是，通过网页界面创建的 API 密钥（Client Secret）最长有效期仅为两年。

如果是作为长期运行的服务（如 NAS 挂载、自动备份等），两年一换难免会因为忘记更新密钥而导致服务不可用。通过使用 Microsoft Graph PowerShell SDK，我们可以突破这个限制，自定义密钥的有效期（例如设置为 100 年），从而实现“永久”使用。

1. 安装 Graph SDK#

首先，需要在 PowerShell 中安装 Microsoft Graph 模块。请以管理员身份或当前用户身份运行 PowerShell 并执行以下命令：

1
Install-Module Microsoft.Graph -Scope CurrentUser -Force -AllowClobber

2. 登录账号并获取权限#

安装完成后，需要登录你的微软账号并授予必要的权限以便通过命令行管理应用。

执行以下命令：

1
Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All", "Directory.ReadWrite.All"
2

3
# 获取 Microsoft Graph 的服务主体引用
4
$graphSp = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'"

注意：执行 Connect-MgGraph 后会弹出浏览器窗口，请登录你需要创建应用的微软账号并同意授权。

3. 配置并创建应用#

这是核心步骤。你可以根据需要修改下方的配置变量（如应用名称、密钥名称、有效期等）。将以下脚本复制到 PowerShell 中运行即可。

配置参数#

1
# === 基础配置 ===
2
$displayName = "rclone"                                   # 注册应用服务名称
3
$secretDisplayName = "rclone-secret"                      # 密钥名称
4
$secretValidityYears = 100                                # 期限，这里设置 100 年
5
$redirectUri = "http://localhost"                         # 重定向 URI
6
$signInAudience = "AzureADandPersonalMicrosoftAccount"    # 受支持的帐户类型（个人+组织）
7

8
# === 权限定义 ===
9
# 委托权限 (Delegated Permissions)
10
$delegatedPermissions = @("User.Read", "Files.Read", "Files.ReadWrite", "offline_access")
11
# 应用程序权限 (Application Permissions)
12
$appPermissions = @("Files.Read.All", "Files.ReadWrite.All")

执行创建逻辑#

1
# === 查找权限 ID ===
2
$requiredDelegatedScopes = $graphSp.Oauth2PermissionScopes | Where-Object { $delegatedPermissions -contains $_.Value }
3
$requiredAppRoles = $graphSp.AppRoles | Where-Object { $appPermissions -contains $_.Value }
4

5
# === 构建权限结构 ===
6
$resourceAccessList = @()
7

8
# 添加委托权限
9
$requiredDelegatedScopes | ForEach-Object {
10
    $resourceAccessList += @{
11
        Id = $_.Id
12
        Type = "Scope"
13
    }
14
}
15

16
# 添加应用权限
17
$requiredAppRoles | ForEach-Object {
18
    $resourceAccessList += @{
19
        Id = $_.Id
20
        Type = "Role"
21
    }
22
}
23

24
$requiredResourceAccess = @(
25
    @{
26
        ResourceAppId = $graphSp.AppId
27
        ResourceAccess = $resourceAccessList
28
    }
29
)
30

31
# === 设置重定向 URI ===
32
$webRedirectUris = @($redirectUri)
33

34
# === 创建应用程序 ===
35
$app = New-MgApplication -DisplayName $displayName `
36
    -SignInAudience $signInAudience `
37
    -Web @{ RedirectUris = $webRedirectUris } `
38
    -RequiredResourceAccess $requiredResourceAccess
39

40
# === 创建服务主体 ===
41
$sp = New-MgServicePrincipal -AppId $app.AppId
42

43
# === 创建客户端密码凭据 (Client Secret) ===
44
$startDate = Get-Date
45
$endDate = $startDate.AddYears($secretValidityYears)
46

47
$secret = Add-MgApplicationPassword -ApplicationId $app.Id -PasswordCredential @{
48
    DisplayName = $secretDisplayName
49
    StartDateTime = $startDate
50
    EndDateTime = $endDate
51
}
52

53
# === 输出结果 ===
54
Write-Host "------------------------------------------------" -ForegroundColor Green
55
Write-Host "应用创建成功！" -ForegroundColor Green
56
Write-Host "应用名称 (Name): $displayName"
57
Write-Host "Application (client) ID: $($app.AppId)"
58
Write-Host "Client Secret: $($secret.SecretText)"
59
Write-Host "------------------------------------------------" -ForegroundColor Green
60
Write-Host "请立即保存 Client Secret，它只显示一次。" -ForegroundColor Yellow

4. 结语#

执行完上述脚本后，不出意外你应该已经成功获取到了 Client ID 和 Client Secret。

Client ID: 用于标识你的应用。
Client Secret: 有效期为你设置的年限（如 100 年）。

如何切换账号？#

如果你想为另一个账号创建 API，需要先注销当前登录，然后重复上述步骤：

1
# 注销当前登录
2
Disconnect-MgGraph

之后再次运行 Connect-MgGraph 即可登录新账号。

转载自：https://pbpz.net/2025/10/03/5.html