我有 Azure AD B2C,我是否使用它来保护 Azure Functions。用户通过在 header 中提供用于授权的 JWT 持有者 token 来使用 Azure 函数进行身份验证。
一切正常。
我现在尝试在身份验证/授权配置面板中应用允许 token 受众。
我原以为“允许 token 受众”会验证我的 JWT token 的受众 (aud) 声明 - 对于我的 JWT token ,该 token 与我的客户端 ID 匹配。
事实似乎并非如此。我为“允许 token 受众”提供的所有值都不正确,但用户仍能成功通过身份验证。
应该如何使用允许 token 受众?
最佳答案
根据评论,问题似乎是客户端 ID 被接受为受众。这是预期的行为。应用服务始终允许客户端 ID 和基本站点 URL (yoursite.azurewebsites.net) 作为有效受众。 “允许的 token 受众”选项旨在提供额外的受众,例如您使用的是自定义域等。
这确实令人困惑。可能有一些用户体验改进可以更好地传达这一点(信息气球、无法删除的列表条目等)。
关于Azure Active Directory,允许的 token 受众似乎没有执行任何操作,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50060380/