1. 为什么我们需要OAuth2.0方案最近很多开发者发现之前用Python脚本通过基础认证(Basic Auth)登录Outlook邮箱的方法突然失效了。这其实是微软为了提升安全性做出的重大调整——全面淘汰基础认证方式。我上周帮客户迁移邮件自动化系统时就遇到了这个问题当时脚本突然报错imaplib.IMAP4.error: bLOGIN failed.折腾了半天才发现是认证方式的问题。传统密码登录最大的问题是安全性低。想象一下你的脚本里直接存储着邮箱账号密码就像把家门钥匙放在门垫下面一样危险。而OAuth2.0采用的是令牌机制就像是一次性的电子钥匙即使泄露也不会危及主账号安全。我在金融行业做自动化项目时合规部门第一个要求就是必须使用OAuth认证。微软Graph API文档明确表示从2022年10月开始逐步禁用基础认证。根据我的实测现在所有新注册的应用都必须使用OAuth2.0。不过好消息是转换到OAuth2.0后我们不仅能读取邮件还能获得日历、联系人等更多功能的访问权限为自动化开发打开了新的大门。2. Azure应用注册全流程2.1 创建Azure应用首先登录Azure门户(portal.azure.com)在左侧菜单选择Azure Active Directory。这里有个坑我踩过——要确保你登录的是有管理员权限的账号普通开发者账号可能看不到某些选项。点击应用注册→新注册给应用起个有意义的名字比如邮件自动化工具。重定向URI特别重要必须填写https://login.microsoftonline.com/common/oauth2/nativeclient这是微软官方认可的本地应用回调地址。去年我有个项目因为填了localhost导致一直认证失败排查了两天才发现这个问题。注册完成后记下应用程序(客户端)ID和目录(租户)ID这两个相当于你的应用身份证。在证书和密码页面点击新建客户端密码描述写邮件自动化过期时间建议选24个月根据安全要求调整。生成的value值只会显示一次务必立即保存到安全的地方我有次手快关了页面不得不重新创建。2.2 配置API权限在API权限页面点击添加权限→Microsoft Graph→委托的权限搜索并添加以下权限Mail.Read (读取邮件)Mail.ReadBasic (读取基础邮件信息)offline_access (获取刷新令牌)添加完成后一定要点击授予管理员同意这个步骤经常被忽略导致后续调用API返回403错误。我在培训新人时发现大约60%的认证问题都是漏了这一步。3. 自动化获取授权码3.1 Playwright模拟登录传统OAuth2.0流程需要人工点击授权这显然不适合自动化场景。我的解决方案是用Playwright这个强大的浏览器自动化工具来模拟整个登录过程。先安装必要库pip install playwright requests python -m playwright install下面是经过我多个项目验证的稳定获取授权码方案from playwright.sync_api import Playwright, sync_playwright import urllib.parse def get_auth_code(client_id, tenant_id, username, password): redirect_uri https://login.microsoftonline.com/common/oauth2/nativeclient auth_url fhttps://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/authorize params { client_id: client_id, response_type: code, redirect_uri: redirect_uri, scope: https://graph.microsoft.com/Mail.Read offline_access, state: 12345 } query_string urllib.parse.urlencode(params) full_url f{auth_url}?{query_string} with sync_playwright() as playwright: browser playwright.chromium.launch(headlessFalse) context browser.new_context(localezh-CN) page context.new_page() try: page.goto(full_url) page.fill(input[typeemail], username) page.click(text下一步) page.fill(input[typepassword], password) page.click(text登录) # 处理可能的MFA验证 if page.is_visible(text保持登录状态): page.click(text否) page.wait_for_url(lambda url: code in url, timeout15000) query dict(urllib.parse.parse_qsl(urllib.parse.urlsplit(page.url).query)) return query[code] finally: context.close() browser.close()这个脚本有几个关键优化点增加了15秒超时等待避免网络延迟导致失败自动处理了下一步按钮的分步登录界面加入了基本的MFA(多因素认证)处理逻辑使用try-finally确保浏览器资源正确释放3.2 处理常见登录问题在实际使用中可能会遇到几个典型问题企业账号需要MFA验证这种情况建议在Azure门户配置条件访问策略为自动化账号创建排除规则登录被拦截可以尝试在launch参数中添加ignore_https_errorsTrue速度太快被风控适当加入page.wait_for_timeout(1000)模拟人工操作我最近给电商客户部署时发现连续快速登录10次后会触发微软的风控机制。解决方案是在失败后加入指数退避重试逻辑最大重试3次每次间隔5-30秒随机时间。4. 获取并使用访问令牌4.1 兑换访问令牌拿到授权码后我们需要用它换取访问令牌。这里使用requests库发送POST请求import requests def get_access_token(client_id, client_secret, tenant_id, auth_code): token_url fhttps://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token data { client_id: client_id, scope: https://graph.microsoft.com/.default, code: auth_code, redirect_uri: https://login.microsoftonline.com/common/oauth2/nativeclient, grant_type: authorization_code, client_secret: client_secret } headers {Content-Type: application/x-www-form-urlencoded} response requests.post(token_url, datadata, headersheaders) response.raise_for_status() token_data response.json() return token_data[access_token], token_data.get(refresh_token)重要提示一定要检查response状态码我遇到过secret过期返回400错误的情况建议将token_data完整保存包括expires_in(过期时间)refresh_token只有在请求了offline_access权限时才会返回4.2 令牌管理最佳实践在实际项目中我建议实现一个TokenManager类来管理令牌生命周期import time from datetime import datetime, timedelta class TokenManager: def __init__(self, config): self.config config self.access_token None self.refresh_token None self.expires_at None def get_valid_token(self): if self.access_token and datetime.now() self.expires_at: return self.access_token if self.refresh_token: new_token self._refresh_token() else: new_token self._get_new_token() return new_token def _refresh_token(self): # 实现刷新令牌逻辑 pass def _get_new_token(self): # 获取全新令牌 pass这种设计有几个优势自动处理令牌过期对调用方透明减少不必要的令牌获取操作可以轻松添加令牌缓存机制方便集成到现有系统中5. 调用Graph API读取邮件5.1 获取邮件基础信息有了访问令牌后我们就可以调用Microsoft Graph API了。先获取邮箱文件夹信息def get_mail_folders(access_token): endpoint https://graph.microsoft.com/v1.0/me/mailFolders headers { Authorization: fBearer {access_token}, Accept: application/json } response requests.get(endpoint, headersheaders) response.raise_for_status() return response.json()这个API会返回所有邮件文件夹包括收件箱、已发送邮件等。在我的测试中收件箱的ID通常是Inbox但为了兼容不同语言版本建议动态获取def get_inbox_id(folders): for folder in folders[value]: if folder[displayName] Inbox: return folder[id] return None5.2 高级邮件查询技巧Graph API支持强大的OData查询参数可以大幅提升效率def get_recent_unread_emails(access_token, inbox_id, top10): endpoint fhttps://graph.microsoft.com/v1.0/me/mailFolders/{inbox_id}/messages params { $filter: isRead eq false, $orderby: receivedDateTime desc, $top: str(top), $select: subject,from,receivedDateTime,bodyPreview } headers { Authorization: fBearer {access_token}, Accept: application/json } response requests.get(endpoint, headersheaders, paramsparams) response.raise_for_status() return response.json()这个查询实现了只获取未读邮件(isRead eq false)按接收时间降序排列只返回前10条只选择必要的字段减少网络传输量根据我的性能测试这种优化查询比获取全部数据再本地处理快3-5倍特别是邮件数量多时差异更明显。5.3 处理分页和限流当邮件数量很多时API会返回分页结果。这是我封装的分页处理函数def get_all_emails(access_token, inbox_id, batch_size50): endpoint fhttps://graph.microsoft.com/v1.0/me/mailFolders/{inbox_id}/messages headers { Authorization: fBearer {access_token}, Accept: application/json, Prefer: fodata.maxpagesize{batch_size} } all_emails [] next_link endpoint while next_link: response requests.get(next_link, headersheaders) response.raise_for_status() data response.json() all_emails.extend(data[value]) next_link data.get(odata.nextLink) # 遵守限流规则 if Retry-After in response.headers: time.sleep(int(response.headers[Retry-After])) return all_emails关键点使用Prefer头控制每页大小自动跟踪odata.nextLink获取所有页面处理Retry-After响应头遵守API限流规则批量大小建议设置在10-100之间太大可能超时我在处理一个包含3万多封邮件的邮箱时这个方案比单次获取稳定得多虽然总时间稍长但避免了因超时导致的失败重试。