嘿，针对你开发这款基于Microsoft Graph Security API的Web应用时遇到的管理员权限同意检查问题，我整理了几个实用的方案，结合你自己发现的思路一起分享给你：

方法一：通过访问令牌的scp声明判断（你发现的实用方案） #

你提到的这个思路真的很巧妙！当管理员为租户同意了那些需要管理员级授权的委托权限后，哪怕你的应用登录时只请求了User.Read，返回的访问令牌里也会自动带上所有已经同意的管理员级权限。具体操作步骤很清晰：

• 先引导用户走常规登录流程，拿到访问令牌
• 解析令牌里的scp（也就是权限范围）字段：
  • 如果能看到SecurityEvents.Read.All或者SecurityEvents.ReadWrite.All，说明管理员已经搞定同意了，用户可以直接用应用
  • 如果这俩权限不在scp里，那就得把用户引导到管理员同意页面，用这个链接就行：

    https://login.microsoftonline.com/common/adminconsent?client_id=<你的应用ID>&state=12345&redirect_uri=http://localhost/myapp/permissions
    

方法二：使用Microsoft Graph的oauth2PermissionGrants端点（注意使用前提） #

你之前试过的oauth2PermissionGrants其实是可行的，但得注意它的使用限制——你得先拿到一个带有Directory.Read.All权限的应用级令牌（不是用户令牌），因为这个端点需要读取租户的权限授予记录。具体步骤是：

• 用你的应用ID和客户端密钥，通过客户端凭据流获取应用令牌
• 调用这个Graph API接口，加上筛选条件定位你的应用和目标权限：

  GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq '<你的应用ID>' and scope contains 'SecurityEvents.Read.All'
  

• 如果返回的结果不是空数组，说明管理员已经同意了；要是空的，那就得引导管理员去做同意操作。

不过这里有个“先有鸡还是先有蛋”的问题：如果管理员还没同意，你的应用大概率还拿不到Directory.Read.All的权限，所以这个方法更适合已经获得部分权限后的后续检查，而你发现的第一种令牌检查法，才是首次判断场景的最优解。

总结 #

对你的场景来说，优先用第一种方法就好：先让用户登录，通过返回的访问令牌里的权限范围直接判断，既不用额外调用Graph API，流程也更顺畅，还避开了权限不足的尴尬。

内容的提问来源于stack exchange，提问作者Ekoval