Azure APIM 和函数应用程序 - 后端身份验证

我们有几个使用 APIM 向客户端公开的函数应用 API。我们目前正在测试身份验证过程，客户端将使用订阅密钥来访问 APIM 网关。然后，后端授权将通过 AAD 或托管的 APIM 授权进行处理。

我们已按照链接配置了授权（AAD - 客户端凭据）， 使用的政策

<inbound>
    <base />
    <get-authorization-context provider-id="aad2" authorization-id="aad2" context-variable-name="auth-context" identity-type="managed" ignore-error="false" />
    <set-header name="authorization" exists-action="override">
        <value>@("Bearer " + ((Authorization)context.Variables.GetValueOrDefault("auth-context"))?.AccessToken)</value>
    </set-header>
    <set-header name="apikey" exists-action="delete" />
    <set-header name="x-functions-key" exists-action="delete" />
</inbound>

并按照链接

<base />
    <authentication-managed-identity resource="xxxx-xxx-4xxb-xxx-xxxxxxx" output-token-variable-name="msi-access-token" ignore-error="false" />
    <set-header name="Authorization" exists-action="override">
        <value>@("Bearer " + (string)context.Variables["msi-access-token"])</value>
    </set-header>

在这两种情况下，跟踪都显示令牌与标头一起传递，并且结果成功。但是，我不确定标头中的“x-functions-key”是否使其起作用。我尝试使用策略删除它，但它仍然存在。如果我从函数应用程序中删除它，则会出现 401 未经授权的错误。

我们如何确认哪一个正在使其正常工作？我们可以从标题中删除“x-functions-key”还是它是一个强制值？