При просмотре потока, который проверяет токены идентификации пользователя Exchange, проверка действительности токена зависит от ключа publi c, который извлекается из amurl. Я пытаюсь понять утверждение "для утверждения amurl внутри приложения задано расположение файла манифеста ключа подписи авторизованного токена"
Как я могу убедиться что amurl, который я использую для получения ключа, является подлинным, авторизованным и фактически помечен для Exchange, который, как он утверждает, аутентифицируется? Пример: что мешает мне добавить iss другого пользователя exchange, mxexchuid и мой собственный amurl, что указывает на мой сертификат X509. Все ли (и только) ли это зависит от сертификата X509, который выбирает amurl, являющийся действительным сертификатом?
Что \ Кто выполняет проверку самого сертификата X509? Все документы \ библиотеки говорят о проверке того, что подпись в токене совпадает с полезной нагрузкой после получения и использования ключа publi c для проверки. Кто проверяет сам сертификат в этой последовательности?
Могу ли я использовать appctxsender + iss для уникальной идентификации Exchange или домена, аналогичного msexhcuid + amurl, который используется для идентификации пользователя?