我正在开发一个多租户 SPA 应用程序,它为数据调用后端 .Net Core Web API。前端 UI 将使用 MSAL 和 Microsoft 的 v2 通用端点针对 AAD 对用户进行身份验证并获取 id 和访问令牌。
在我的 Web API 中,我想验证颁发者,但如此处所述,使用公共端点提供的元数据使正常的颁发者验证无法使用。
我已经看到对几个可以覆盖或自定义令牌验证的地方的引用,但我不确定哪个是首选,或者这些方法中的任何一个是否会导致不希望的副作用。
一种方法使用 JwtBearer 选项的事件:options.Events.TokenValidated
另一种方法使用 TokenValidationParameters 的IssuerValidator
委托。
除了确保发行者存在于我的已验证发行者数据库中之外,我不想编写任何令牌验证逻辑。这个逻辑应该放在IssuerValidator
or中TokenValidated
吗?
我当前的代码如下所示(当前为单租户设置)
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.Authority = "https://myauthority.com";
options.Audience = "https://myaudience.com/api/v1";
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidIssuer = "myauthority.com",
ValidateAudience = true,
ValidAudience = "https://myaudience.com",
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
};
});
我在 using 中看到的一个问题IssuerValidator
是,似乎没有一种方法可以注入或传递对能够在数据库中查找租户 ID 所需的 dbContext 的引用。
有没有人解决过这个问题或做过类似的事情?