Может ли токен на предъявителя проверять запрос расширения сообщения от команд MS?

Question

Я создал расширение сообщения для приложения в Microsoft Teams, которое при нажатии отправляет сообщение от Teams на мой веб-сервис.

(один из них https://docs.microsoft.com/en-us/microsoftteams/platform/messaging-extensions/how-to/action-commands/define-action-command)

Мне не нужно аутентифицировать пользователя, но я хочу, чтобы аутентификация входящего запроса исходила от Microsoft, а не от того, что кто-то злонамеренно отправлял мне данные.

Метод аутентификации, описанный Microsoft здесь ; аутентифицирует пользователя индивидуально в системе. Что я не хочу, так как у пользователя может не быть учетной записи.

В заголовке входящего запроса действия к моему веб-сервису есть токен Носителя. Могу ли я как-то использовать это для проверки?

Answer 1

Вы не должны проверять токен на предъявителя, отправленный из MS Teams в ваше приложение MS Teams.

Правильный способ сделать это - использовать «клиентские полномочия» между вашим приложением MS Teams и вашей веб-службой. , Грант описан здесь: https://tools.ietf.org/html/rfc6749#section -4,4

Ваше приложение MS Teams будет клиентом. Каждый запрос, отправляемый вашим клиентом на ваш веб-сервис, будет содержать токен, выданный вашим веб-сервисом или внешним провайдером идентификации, которому вы доверяете. Этот токен будет проверен вашей веб-службой, чтобы убедиться, что запрос является подлинным.

Этот грант подходит для обмена данными между службами, который вы описали.