必须先通过msal获取用户授权access_token,再用microsoft.graph sdk调用graphserviceclient;小文件用put直传并正确格式化路径(如:/{name}:),大文件用上传会话;注意权限配置、中文编码、流式下载防内存溢出及冲突行为控制。
如何用 C# 调用 Microsoft Graph API 读写 OneDrive 文件
必须先获得用户授权并获取有效 access_token,否则所有文件操作都会返回 401 Unauthorized 或 403 Forbidden。Graph SDK 不会自动处理登录和令牌刷新,这部分需自行集成 MSAL(Microsoft Authentication Library)。
推荐使用 Microsoft.Graph 和 Microsoft.Identity.Client NuGet 包,而非直接拼接 HTTP 请求——SDK 自动处理版本前缀、序列化、分页和部分错误重试。
- 注册应用时务必在 Azure AD 中开启
Files.ReadWrite(或更细粒度如Files.ReadWrite.AppFolder)权限,并完成管理员同意(如果是租户级权限) - 桌面/本地应用建议用
PublicClientApplicationBuilder+ PKCE 流程;Web 应用必须用ConfidentialClientApplicationBuilder并配置重定向 URI 和 client secret/certificate - 调用
GraphServiceClient前,必须传入带 token 的DelegateAuthenticationProvider,不能只靠WithAppOnly()想绕过用户上下文——OneDrive 个人版(@outlook.com)不支持应用权限,必须走用户委托流
上传小文件(≤4MB)的正确写法
直接用 CreateUploadSession 是过度设计;小文件应走简单 PUT,否则反而引入额外 round-trip 和 session 管理逻辑。
关键点:路径中不能硬编码 /me/drive/root:,而要用 :/path/to/file.txt: 这种冒号结尾格式,否则 Graph 会报 InvalidRequest。
var stream = File.OpenRead(@"C:\temp\report.pdf");
var uploadUrl = $"https://graph.microsoft.com/v1.0/me/drive/root:/{Uri.EscapeDataString("report.pdf")}:";
var response = await graphClient.HttpProvider.SendAsync(
new HttpRequestMessage(HttpMethod.Put, uploadUrl)
{
Content = new StreamContent(stream)
{
Headers = { { "Content-Type", "application/pdf" } }
}
});
- 文件名含中文或特殊字符时,必须用
Uri.EscapeDataString()处理,Uri.EscapeUriString()不够严格,会导致 400 - 响应成功后,
response.Content返回的是完整DriveItemJSON,包含@microsoft.graph.downloadUrl和webUrl - 不要手动设置
Content-Length——StreamContent会自动计算;设错会导致 400 或静默截断
下载文件时避免内存爆炸
用 graphClient.Me.Drive.Items["id"].Content.GetAsync() 会把整个文件加载进内存,大文件(如视频、压缩包)极易触发 OutOfMemoryException。
正确做法是拿到响应流后立即写入磁盘或转发,不缓冲全量内容:
var response = await graphClient.Me.Drive.Items["abc123"].Content.GetAsync(); using var fileStream = File.Create(@"C:\temp\downloaded.zip"); await response.Content.CopyToAsync(fileStream);
- 务必检查
response.StatusCode == HttpStatusCode.OK,否则response.Content可能为空或为错误体 - 若需限速或断点续传,改用
Range请求头 +graphClient.HttpProvider.SendAsync()手动发 GET,SDK 不暴露底层HttpRequestMessage的 range 控制 - OneDrive for Business 有时返回
302重定向到 CDN 地址,SDK 默认跟随,但若网络环境禁用重定向(如某些企业代理),需手动处理Location头
处理“文件已存在”和并发冲突
默认上传同名文件会覆盖,但实际业务常需保留旧版或报错提示。Graph 提供 @microsoft.graph.conflictBehavior 元数据控制行为,不是 URL 参数也不是请求头。
必须将该字段作为 JSON payload 发送到 content 接口(PUT),且仅对小文件上传生效:
var content = new StringContent(
"{\"@microsoft.graph.conflictBehavior\":\"rename\"}",
Encoding.UTF8,
"application/json");
// 然后在 PUT 请求的 Content-Type 为 application/json 时附带此 body
- 可选值只有
rename、fail、replace(默认),不支持自定义后缀或时间戳插入 - 该字段对
CreateUploadSession流程无效——大文件上传必须自己在创建 session 前先查是否存在,再决定是否删除或跳过 - 多个客户端同时写同一路径时,Graph 不保证强一致性;
rename行为下可能出现file (1).pdf和file (2).pdf并存,无法预知序号
真正麻烦的是跨区域账户(如 OneDrive Personal 用户在非美区数据中心)的 endpoint 差异,以及教育版租户中 /me/drive 可能指向 SharePoint 文档库而非 OneDrive,这些细节不会报明确错误,只会静默返回空列表或权限拒绝。动手前先用 Graph Explorer 手动验证 endpoint 和 scope 是否匹配目标账户类型。
