Azure Active Directory，允许的令牌受众似乎没有做任何事情

Posted 2023-03-08

【中文标题】Azure Active Directory，允许的令牌受众似乎没有做任何事情

【英文标题】：Azure Active Directory, Allowed Token Audiences doesnt appear to do anything

【发布时间】：2018-10-08 04:19:06

【问题描述】：

我有 Azure AD B2C，我是否使用它来保护 Azure 函数。用户通过在标头中提供用于授权的 JWT Bearer Token 使用 Azure Function 进行身份验证。

这一切正常。

我现在尝试在身份验证/授权配置面板中应用允许令牌受众。

我曾认为 Allow Token Audience 会验证我的 JWT 令牌的观众 (aud) 声明 - 对于我的 JWT 令牌，它与我的客户 ID 匹配。

情况似乎并非如此。我为 Allow Token Audience 提供的所有值都不正确，但用户仍然成功通过身份验证。

Allow Token Audience 应该如何使用？

【问题讨论】：

因为您正在发送通过的任意受众？或者他们都使用站点 URL（默认值，可能有效）。试图了解正在发生的事情。举个例子会很有帮助。

@mattchenderson 我当前使用的 Audience 是客户端 ID。这与我设置的 Allow Token Audiences 不匹配。无论如何都允许该请求。

【参考方案1】：

根据 cmets，问题似乎是客户端 ID 被接受为受众。这是预期的行为。应用服务始终允许客户端 ID 和基站点 URL (yoursite.azurewebsites.net) 作为有效受众。 “允许的令牌受众”选项旨在提供其他受众，例如您使用的是自定义域等。

这确实令人困惑。可能有一些 UX 改进可以更好地传达这一点（信息气球、无法删除的列表条目等）。