Но как это проверить?
Чтобы проверить id_token или access_token, ваше приложение должно проверить как подпись токена, так и утверждения. Чтобы проверить токены доступа, ваше приложение должно также проверить издателя, аудиторию и токены подписи. Они должны быть проверены на соответствие значениям в документе обнаружения OpenID. Например, независимая от арендатора версия документа находится по адресу https://login.microsoftonline.com/common/.well-known/openid-configuration.
Промежуточное ПО Azure AD имеет встроенные возможности для проверки токенов доступа, и вы можете просмотреть образцов , чтобы найти один на выбранном вами языке. Для получения дополнительной информации о том, как явно проверить токен JWT, см. пример проверки JWT вручную .
Для получения более подробной информации вы можете обратиться к Проверка токенов .