У меня есть служба, которая генерирует токен-носитель JWT с помощью принадлежащего им приложения AAD.Сервис вызывает наш API, отправляя токен в шапку.Как проверить подпись и вызывающего пользователя (в данном случае приложение AAD)
Я вижу документацию / блоги, предлагающие следующий код, но не проверяющие подпись и / или пользователя -
public void ConfigureAuth(IAppBuilder app)
{
var tokenValidationParameter = new TokenValidationParameters();
tokenValidationParameter.ValidAudience = ConfigurationManager.AppSettings["Audience"];
app.UseWindowsAzureActiveDirectoryBearerAuthentication(
new WindowsAzureActiveDirectoryBearerAuthenticationOptions
{
TokenValidationParameters = tokenValidationParameter,
Tenant = ConfigurationManager.AppSettings["Tenant"]
});
}