Azure Active Directory, «Разрешенные токены», кажется, ничего не делает

Question

У меня есть Azure AD B2C, и я использую его для защиты функции Azure. Пользователи проходят проверку подлинности с помощью функции Azure, предоставляя маркер JWT Bearer для авторизации в заголовке.

Это все работает правильно.

Я попытался применить Разрешить токен-аудиторию на панели конфигурации Аутентификация / Авторизация.

Я думал, что Allow Token Audience будет проверять утверждение аудитории (aud) о моем токене JWT - что для моего токена JWT соответствует моему идентификатору клиента.

Похоже, что это не так. Все значения, указанные мною для Разрешить аудиторию токенов, неверны, но пользователи все еще успешно проходят аутентификацию.

Как разрешить использование Разрешенной токен-аудитории?

Answer 1

Согласно комментариям, проблема заключается в том, что идентификатор клиента принимается в качестве аудитории. Это ожидаемое поведение. Служба приложений всегда допускает использование идентификатора клиента и URL базового сайта (yoursite.azurewebsites.net) в качестве допустимых аудиторий. Параметр «Разрешенные аудитории токенов» предназначен для предоставления дополнительных аудиторий, например, если вы используете собственный домен и т. Д.

Это, конечно, сбивает с толку. Вероятно, есть улучшения UX, которые могли бы сообщить об этом лучше (всплывающая подсказка, записи списка, которые нельзя удалить и т. Д.).