1

WebApp <=> WebApi 認証シナリオに取り組んでいます。ここでは、WebApp で Azure AD から JWT トークンを取得し、それを WebApi に渡します。WebApi で、WebApp のトークンから Azure GraphAPI のアクセス トークンを生成し、承認のために GraphAPI を呼び出します。

ユーザー認証は WebApp と WebApi の両方で同じであるため、WebApp と WebApi は両方とも Azure テナント ポータルに単一のアプリケーションとして登録されます。

これはイントラネット アプリケーションであり、AD のすべてのユーザーに公開されています。トークンの検証または認証に関連するいくつかの質問。

  1. WebApp と WebApi の両方でトークンの Tenant と Audience を確認する必要がありますか?
  2. WebApp、WebApi、またはその両方で、他にどのようなトークン検証を実行する必要がありますか?

JWT トークンはデジタル署名され、暗号化されているため。トークンが WebApp から渡されたときに、WebApi で検証を行わないと、どのような影響がありますか?

お知らせ下さい。

4

2 に答える 2

1

Audience のみで検証を行います (アプリケーションがマルチテナントでない場合はテナントを使用できますが、マルチテナントであるため、テナントとして「共通」を使用します)。

API で対象者の検証を行わない場合、グラフ トークンを取得するすべてのアプリケーションがアプリケーションを呼び出すことができます (発生する唯一の検証は、トークンの有効期限が切れているかどうかです)。

JWT トークンは暗号化されておらず、Base 64 でエンコードされており、http://jwt.calebb.net/などのツールを使用 してトークンのプロパティを確認できます。

于 2015-09-05T00:14:53.337 に答える