假设用户使用Microsoft登录页面登录,Azure请求带有令牌的应用程序URL。但是如何验证呢?任何人都可以使用伪造的令牌请求应用程序URL。 Azure API是否包含用于此类检查的URL?
答案 0 :(得分:0)
但是如何验证呢?
要验证id_token或access_token,您的应用程序应同时验证令牌的签名和声明。为了验证访问令牌,您的应用程序还应该验证发行者,受众和签名令牌。这些需要根据OpenID发现文档中的值进行验证。例如,文档的与租户无关的版本位于https://login.microsoftonline.com/common/.well-known/openid-configuration。
Azure AD中间件具有用于验证访问令牌的内置功能,并且您可以浏览samples来查找所选语言的一个。有关如何显式验证JWT令牌的更多信息,请参见manual JWT validation sample。
有关更多详细信息,请参阅Validating tokens。