我在相同租户下有一个AD应用程序(客户端ID:xyz,范围:xyz_123)和另一个AD应用程序(客户端ID:abc,范围:abc_123))。
假设我在服务中的jwt令牌验证代码类似于
并启动我的服务时,身份验证就成功了。.AddJwtBearer(o => { o.Authority = Configuration["Authentication:Authority"]; o.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters { ValidAudiences = new List<string> { xyz, xyz_123 } };所以现在,当我生成一个带有Grant_type作为客户端凭据的承载令牌,并且客户端ID:abc和resource_id:xyz_123
是此预期行为。为什么当AD应用程序(客户端ID:abc)被没有的资源/作用域(xyz_123)击中时,会授予承载令牌。同一租户下的所有AD应用程序实例都可以访问其所有范围吗?
我在同一租户下有一个AD应用程序(客户端ID:xyz,范围:xyz_123)和另一个AD应用程序(客户端ID:abc,范围:abc_123)。假设我在服务中的jwt令牌验证代码类似于....
是。您必须检查令牌权限才能正确保护API。