我为Microsoft Teams中的一个应用程序创建了一个消息扩展名,单击该消息扩展名将消息从Teams发送到我的Web服务。
我不需要对用户进行身份验证,但是我想对传入的请求来自Microsoft进行身份验证,而不是有人恶意向我发送数据。
Microsoft here描述的认证方法;在系统上分别对用户进行身份验证。我不希望这样做,因为用户可能没有帐户。
对我的Web服务的操作传入请求的标头中有一个Bearer令牌。我可以以某种方式利用它来验证它吗?
您不应该验证从MS Teams发送到您的MS Teams App的Bearer令牌。
正确的方法是使用MS Teams应用程序和Web服务之间的“客户端凭据授予”。授予描述如下:https://tools.ietf.org/html/rfc6749#section-4.4
您的MS Teams应用将是客户端。客户端发送到Web服务的每个请求都将包含由Web服务或Web服务信任的外部身份提供商提供的令牌。您的网络服务将验证此令牌,以确保请求是真实的。
此赠款适合您所描述的服务之间的通信。