1

根据 Microsoft 提供的以下文档,我已经注册了这两个应用程序,使用客户端凭据设置 OAuth 2.0 服务并添加了“validate-jwt”入站策略。我已经使用邮递员生成承载令牌并在 APIM 实例下通过令牌调用我的后端 API 对其进行了测试。它工作正常。

https://docs.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad

但与 Apim 一起,我还想保护我的后端 API 并将相同的令牌传递给后端 API。所以我在这里有一些问题-

  • APIM 会自动将相同的不记名令牌转发到后端 API,还是我们需要为其配置任何策略?
  • 如果是这样,我如何检查跟踪日志?另外,如何在后端 API 代码中授权相同的令牌?

这是我的“validate-jwt”政策——

<inbound>
    <validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized. Access token is missing or invalid.">
        <openid-config url="https://login.microsoftonline.com/{AAD Tenant ID}/v2.0/.well-known/openid-configuration" />
        <audiences>
            <audience>{App Id of backend App}</audience>
        </audiences>
    </validate-jwt>
    <base />
</inbound>

请帮忙。

4

1 回答 1

1

对于你的第一个问题:

根据我这边的一些测试,APIM 似乎可以自动将相同的不记名令牌转发到后端 api,而无需添加任何策略。

我在 APIM 中创建了一个 api 来在后端调用 microsoft graph api(list users)。测试运行 APIM api,它显示“401 Unauthorized”错误。然后我在 APIM api 的标头中提供不记名令牌进行测试,如下图所示: 在此处输入图像描述

它运行成功并响应用户列表。所以不记名令牌可以自动转发到后端api。

对于你的第二个问题:

如果您想跟踪后端 api 的日志,我认为您可以在 api 的后端代码中进行。

要验证后端 api 中的令牌,您可以在后端 api 代码中解码 jwt 令牌,然后检查令牌中的声明值(下面我提供了一个示例来解码 jwt 令牌并获取iss声明的值)

using System;
using System.Collections.Generic;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace ConsoleApp5
{
    class Program
    {
        static void Main(string[] args)
        {
            var stream = "your access token";
            var handler = new JwtSecurityTokenHandler();
            var jsonToken = handler.ReadToken(stream);
            var tokenS = handler.ReadToken(stream) as JwtSecurityToken;

            var iss = tokenS.Claims.First(claim => claim.Type == "iss").Value;
            Console.WriteLine(iss);
            //Then check if "iss" matches the value you specified.

            Console.ReadLine();
        }
    }
}
于 2021-03-12T04:18:03.433 回答