好吧,我的第一个问题是ADFS 2016不会在JWT令牌中生成KID标头,我需要它在我的身份提供程序(Spring Security)中进行身份验证。
我解决了此问题,得到了ADFS生成的ID_TOKEN,该ID具有我期望的KID。但是使用ID_TOKEN我得到了错误的AUD索赔。
AUD索赔应该是我的ResourceServer的CLIENTID,但是ADFS正在使用我自己的应用程序(客户端应用程序)的CLIENTID生成AUD内容,当我尝试调用ResourceServer时,由于AUD索赔而导致访问被拒绝是错误的。
任何解决此问题的技巧吗?