我有Azure AD B2C,我使用它来保护Azure功能 . 用户通过在标头中提供JWT承载令牌进行授权来使用Azure功能进行身份验证 .
一切正常 .
我现在尝试在“身份验证/授权”配置面板中应用“允许令牌受众” .
我原以为允许令牌受众会验证我的JWT令牌的受众( aud )声明 - 这对我的JWT令牌与我的客户端ID匹配 .
情况似乎并非如此 . 我为Allow Token Audience提供的所有值都不正确,但用户仍然可以成功通过身份验证 .
如何使用Allow Token Audience?
1 回答
根据评论,问题似乎是客户ID被接受为受众 . 这是预期的行为 . App Service始终允许客户端ID和基本站点URL(yoursite.azurewebsites.net)作为有效受众 . “允许的令牌受众群体”选项旨在提供其他受众群体,例如您是否使用自定义域名等 .
这当然令人困惑 . 可能有更好的用户体验改进可以更好地沟通(信息气球,无法删除的列表条目等) .