Azure APIM 根据两种不同的声明验证 JWT

最后，我能找到解决问题的唯一方法是使用 Choose 元素而不是 validate-jwt 以及自定义代码（这是我希望避免的方式）。基本上，我将经过验证的 JWT 令牌保存到变量中，然后使用 if / elseif 来确定令牌是否可接受。工作相关配置如下

<validate-jwt header-name="Authorization" failed-validation-httpcode="401" require-scheme="Bearer" output-token-variable-name="valid-jwt">
    <openid-config url="https://login.microsoftonline.com/tenantid/v2.0/.well-known/openid-configuration" />
    <issuers>
        <issuer>https://sts.windows.net/tenantid/</issuer>
    </issuers>
</validate-jwt>
<choose>
    <when condition="@{
        var jwt = (Jwt)context.Variables["valid-jwt"];
        if(jwt.Claims.ContainsKey("roles")){
            var roles = jwt.Claims["roles"];
            return !Array.Exists(roles, element => element == "MyRoleName");
        } else if (jwt.Claims.ContainsKey("scp")){
            var scp = jwt.Claims["scp"];
            return !Array.Exists(scp, element => element == "user_impersonation");
        } else { return true; }
    }">
<return-response>
    <set-status code="401" reason="Unauthorized" />
</return-response>
</when>
<otherwise />
</choose>

正如您提到的，令牌可能包含

scp

roles

<validate-jwt>

此后，如果令牌仅包含一项声明，则可以验证该令牌。

顺便请检查一下，两种情况下你的token是否有相同的“Audiences”，否则上面的配置可能无法实现你的需求。

对于可能偶然发现此页面的人，运算符（任何/全部）用于声明中的值 所有必需的声明都需要包含在使用 OOB 策略的令牌中，操作员仅帮助验证值

举个例子

    <inbound>
            <required-claims>
                <claim name="foo" match="any">
                    <value>bar</value>
                    <value>baar</value>
                    <value>baar</value>
                    <value>baaar</value>
                </claim>
            </required-claims>
        </validate-jwt>
    </inbound>

将验证声明“foo”中的任何值，如果您使用运算符“all”而不是any，则声明必须包含所有值

此处的文档中指定了：https://learn.microsoft.com/en-us/azure/api-management/validate-jwt-policy#claim-attributes