azure - Azure Active Directory JWT 审计值
问题描述
在来自 AAD 的 JWT 中有一个密钥“aud”。https://jwt.io/,说是“观众”。(令牌的用途是谁或什么)'。我的问题是,价值观是否aud特定于网站 - 我可以检查 aud 并期望它与检查令牌是否适用于我的特定网站相同吗?
解决方案
在 Azure AD 中,受众值始终指示令牌所针对的资源。
您可以使用 API 的客户端 ID 或应用程序 ID URI 获取访问令牌。您使用的将是令牌中的受众。因此,如果您制作 API,您应该检查受众是 API 的客户端 ID 还是应用程序 ID URI。如果令牌用于您的 API,您可以肯定地知道它始终是其中之一。
编辑:以下信息不正确。如果我知道您的 API 标识符 + 您的租户 ID,我可以使用客户端凭据为您的 API 获取访问令牌!令牌将不包含范围或角色,它不能。因此,检查是否存在有效的委派权限(也称为范围)或有效的应用程序权限(在角色声明中)至关重要。
这是错误的:如果我尝试使用您的 API 标识符从我的 AAD 租户获取访问令牌,它不会给我一个令牌。任何通过正确受众传递访问令牌的应用程序都有权在获取令牌时调用您的 API。
推荐阅读
- javascript - 在默认函数中调用另一个函数
- powershell - 从管理门户上显示的所有 Office 365 组中删除 CVS 文件中的禁用用户
- android - 带有 RecyclerView 的运动布局,在 recyclerview 的末尾滚动
- pandas - pandas 数据透视表 DF 的索引计数
- python-3.x - Python根据属性获取类对象名称
- javascript - Firefox 中的 JS MIME 警告。不加载脚本
- azure - 如何从 Dynamics 365 而不是 GUID 获得真正的价值?
- pointers - 优化:指针的vector.erase()
- ios - 完成上一条后如何多次绘制相同的贝塞尔路径?
- c - 在提交时给出运行时错误,但在 leetcode 问题上的自定义测试用例上给出正确的输出