使用 OpenidConnect 进行多租户令牌验证
Multitenant token Validation using OpenidConnect
我有一个多租户 aad 应用程序,需要对其进行令牌验证。我可以访问 'TokenValidated' 事件处理程序中的令牌。现在,我将 属性 'ValidateIssuer' 设置为 true。在网上看,我注意到很多地方这个 属性 对于多租户应用程序设置为 false,并且提到了自定义验证。有人能告诉我需要为多租户应用程序完成哪些额外的令牌验证吗?例子会很有帮助。
我已阅读有关 ValidatingIssuerNameRegistry 的信息,但不知道这是否适用于我的情况,因为我们不限制任何特定租户。
谢谢
-拉维
Here's a great article on token validation you may find helpful. The Azure AD Token Claims Article 也非常有用。
颁发者验证用于指示颁发令牌的 sts 和为其颁发令牌的租户。因此,在多租户应用程序的情况下,您可以选择关闭颁发者验证,以便不限制任何租户登录。在单租户或 n 租户情况下,您可以使用它来仅允许来自特定租户的令牌。
另一个必要的验证是签名验证。这样做可确保令牌实际上是从 Azure AD(颁发机构)创建的,而不是从某些恶意来源伪造的。
我有一个多租户 aad 应用程序,需要对其进行令牌验证。我可以访问 'TokenValidated' 事件处理程序中的令牌。现在,我将 属性 'ValidateIssuer' 设置为 true。在网上看,我注意到很多地方这个 属性 对于多租户应用程序设置为 false,并且提到了自定义验证。有人能告诉我需要为多租户应用程序完成哪些额外的令牌验证吗?例子会很有帮助。
我已阅读有关 ValidatingIssuerNameRegistry 的信息,但不知道这是否适用于我的情况,因为我们不限制任何特定租户。
谢谢
-拉维
Here's a great article on token validation you may find helpful. The Azure AD Token Claims Article 也非常有用。
颁发者验证用于指示颁发令牌的 sts 和为其颁发令牌的租户。因此,在多租户应用程序的情况下,您可以选择关闭颁发者验证,以便不限制任何租户登录。在单租户或 n 租户情况下,您可以使用它来仅允许来自特定租户的令牌。
另一个必要的验证是签名验证。这样做可确保令牌实际上是从 Azure AD(颁发机构)创建的,而不是从某些恶意来源伪造的。