我想构建一个使用AAD调用多租户Web API的多租户Web应用程序。
我正在关注此sample,但用ASP.NET Web应用程序替换了UWP app客户端。
一切正常但我担心发行人的验证是使用基于定制数据库中的值的自定义AuthorizationFilterAttribute完成的。
不是使用单独的数据库,而是可以使用AAD实现,即使用该目录的实现。
如果以某种方式损坏数据库以包含“错误数据”
,似乎可能存在安全风险答案 0 :(得分:0)
如果您正在询问Azure AD应用程序注册中是否存在提供有效令牌颁发者列表的选项,那么我担心答案是否定的。
令牌发行者验证是目前持票人令牌接收方的责任。