oauth-2.0 - 使用 Azure AD 通过 OAuth2 对 Azure API 管理进行身份验证

问题描述

我正在尝试通过阅读文章通过 AzureAD 使用 OAuth2 保护 APIM API：通过使用 Azure AD 的 OAuth 2.0 授权来保护 Azure API 管理中的 Web API 后端

AzureAPIM - OAuth2

• 授权端点 URL (v1)：https ://login.microsoftonline.com/{tenant}/oauth2/authorize
• 令牌端点 URL (v1)：https ://login.microsoftonline.com/{tenant}/oauth2/token
• 客户端 ID：客户端应用程序 ID
• 重定向 URI：（不推荐使用的门户）：https ://xxx-api.portal.azure-api.net/docs/services/auth1/console/oauth2/authorizationcode/callback

AzureAD - 后端应用程序：

• 范围：Files.All

AzureAD - 客户端应用程序：

• 秘钥：xxx
• 重定向网址：仅适用于 APIM 中已弃用的门户（https://xxx-api.portal.azure-api.net/docs/services/auth1/console/oauth2/authorizationcode/callback）

对于演示会议 API，将验证 JWT 策略添加到入站处理，其中3a0cf09b-租户 IDb7c31179-是后端应用程序 ID：

在开发人员门户中，对 AzureAD 的身份验证成功并带有返回令牌：

但是调用 API 授权失败：

检查 jwt.io 中收到的令牌，我发现"aud": "00000003-0000-0000-c000-000000000000"不是后端应用程序 id：

{
  "aud": "00000003-0000-0000-c000-000000000000",
  "iss": "https://sts.windows.net/3a0cf09b-xxx/",
  "app_displayname": "client-app",
  "appid": "05a245fb-xxx",
  "scp": "Files.Read User.Read profile openid email",
  "tenant_region_scope": "OC",
  "tid": "3a0cf09b-2952-4673-9ace-0e1bf69ee23a",
  "unique_name": "user1@xxx.onmicrosoft.com",
}

API 测试 HTTP 响应跟踪显示 validate-jwt 上的错误：

validate-jwt (-0.138 ms)
{
    "message": "JWT Validation Failed: Claim value mismatch: aud=b7c31179-xxx.."
}

替换aud为令牌中的值00000003-0000-0000-c000-000000000000或删除策略required-claims中的值validate-jwt以使其正常工作。

请问有什么想法吗？

标签： oauth-2.0azure-active-directoryazure-api-management