我有一个多租户aad应用,需要进行令牌验证。我可以访问'TokenValidated'事件处理程序中的令牌。现在,我将属性'ValidateIssuer'设置为true。在线查看,我注意到很多地方将这个属性设置为多租户应用程序的假,并且提到了自定义验证。有人能告诉我多租户应用程序需要做哪些额外的令牌验证吗?示例将有所帮助。
我已阅读有关ValidatingIssuerNameRegistry的信息,但由于我们不限制任何特定租户,因此不知道这是否适用于我的方案。
由于
-Ravi
答案 0 :(得分:1)
Here's有关令牌验证的精彩文章,您可能会觉得有用。 Azure AD Token Claims Article也非常有用。
颁发者验证用于指示颁发令牌的sts以及为其颁发的令牌。因此,对于多租户应用程序,您可以选择关闭颁发者验证,以便不限制任何租户登录。在单租户或租户案例中,您可以使用此选项仅允许来自特定租户的令牌。
其他必要的验证是签名验证。这样做可以确保令牌实际上是从Azure AD(发布机构)中创建的,而不是从某些恶意来源编造的。