我之前也碰到过一模一样的问题！你能通过https://graph.microsoft.com:443/v1.0/sites/{siteId}/drives/{driveId}/list/items/{itemId}/driveItem获取文件元数据，但请求/content端点下载时返回403，核心原因基本都是权限配置不到位，下面给你几个具体的排查和解决方向：

1. 检查Azure AD应用的权限范围 #

确保你的应用配置的是**应用权限（Application Permissions）**而非委派权限（Delegated Permissions）——App Only模式只能使用应用权限。推荐添加以下权限并完成管理员同意：

• Sites.Read.All 或 Sites.ReadWrite.All（针对站点/列表的权限）
• Files.Read.All 或 Files.ReadWrite.All（针对文件内容的权限）
  注意：添加权限后一定要点击"授予管理员同意"按钮，否则权限不会生效。

2. 验证文档库的权限继承情况 #

如果文件所在的文档库打破了权限继承（设置了独特权限），即使你的应用有全局的站点权限，也可能无法访问该库的内容。这种情况下需要：

• 进入SharePoint文档库的权限设置页面
• 添加应用的服务主体（搜索应用名称即可找到）
• 给它分配"读取"或更高的权限

3. 确认令牌有效性与请求格式 #

• 确保你获取的App Only令牌是正确的：使用应用的Client ID、Client Secret和租户ID通过https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token端点获取，scope设置为https://graph.microsoft.com/.default
• 请求头里的Authorization字段格式必须是 Bearer {你的令牌}，不要有拼写错误

4. 等待权限生效 #

有时候Azure AD的权限变更需要5-10分钟才能同步到SharePoint Online，添加权限后别急着重试，先等一会儿再测试。

另外，极少数情况下文件的信息保护策略（比如敏感标签）也会导致下载失败，但这种情况概率很低，优先排查前面的权限问题就好。

内容的提问来源于stack exchange，提问作者mimotilla