之前我没有触及AAD,但我必须使用它来验证我的REST服务用户。
我有一个移动客户端,可以使用OAuth2对AAD上的用户进行身份验证。结果它有一个不记名令牌。 此承载令牌移动客户端应该用作受保护REST服务请求中的参数 REST服务是一个基于Java的应用程序(spring-boot),它在AAD中作为Web应用程序注册,但我找不到如何连接到AAD进行检查的方式是否有效。 我希望有类似 / oauth2 / check_token 端点的东西可以获取令牌值并返回用户数据,但我没有找到任何东西。
是否可以将AAD用于第三方应用程序的身份验证用户,如果可以,该怎么做?
答案 0 :(得分:2)
AAD发出的令牌是签名的JWT令牌。您无需与AAD通信以验证令牌是否有效。如果您信任发行人(AAD)且令牌有效(正确的受众,有效签名,未过期等),您接受令牌中的声明。
有关验证JWT令牌的步骤,请参阅this article。