如何使用 Azure Keyvault 保护 Azure Functions

我目前正在编写一个 .NET 7 隔离的 Azure 函数。我想配置该函数及其调用方以使用 Azure Key Vault。

我已经让密钥保管库正常工作，一切都已连接，并且可以从应用程序访问密钥。

我不明白的是如何保护端点。我已经按照文档设置了

AuthorizationLevel.Function

public HttpResponseData Run([HttpTrigger(AuthorizationLevel.Function, "get", "post")] HttpRequestData req)
{
    Console.WriteLine(Environment.GetEnvironmentVariable("FunctionApiKey"));
    Console.WriteLine((getSecretAsync().GetAwaiter().GetResult()).Value);
    _logger.LogInformation("C# HTTP trigger function processed a request.");

    var response = req.CreateResponse(HttpStatusCode.OK);
    response.Headers.Add("Content-Type", "text/plain; charset=utf-8");

    response.WriteString("Welcome to Azure Functions!");

    return response;
}

现在，当我在开发环境中调用我的应用程序时，我只需在邮递员中使用简单的 URL 即可触发它，甚至无需提供密钥。所以我不知道授权是否按预期工作，或者 Azure Function 框架是否提供了某种机制来在开发环境中不需要它。

此外，我不明白如何将授权 API 密钥指向 keyvault 密钥。我在

appsettings.local

{
    "IsEncrypted": false,
    "Values": {
        "AzureWebJobsStorage": "UseDevelopmentStorage=true",
        "AzureWebJobsSecretStorageType": "keyvault",
        "AzureWebJobsSecretStorageKeyVaultUri": "https://<vaultURI>.vault.azure.net/",
        "FUNCTIONS_WORKER_RUNTIME": "dotnet-isolated"
    }
}

这是根据此处的文档设置的。但他们没有描述如何将应用程序指向特定的秘密以进行授权。

编辑： 看起来这个问题的答案部分就在我面前：

AzureWebJobsSecretStorageKeyVaultClientSecret    <CLIENT_SECRET>

但是我仍然不明白为什么端点在我的开发环境中未经授权运行。