我正在尝试验证从azure活动目录获得的访问令牌。
我从https://login.microsoftonline.com/ {{my tennant guid}} / v2.0中获得了令牌
但是返回的令牌中的发行者是https://sts.windows.net// {{my tennant guid}} /都匹配。
如果我以.well-known / openid-configuration检查该配置,则发行者符合预期https://login.microsoftonline.com/。...
我在[https://github.com/AzureAD/microsoft-authentication-library-for-js/issues/560这里的git hub上发现了类似的问题
结果是在AAD的应用程序注册中手动编辑清单json并设置“ accessTokenAcceptedVersion”:2
我已经做到了,但这没什么区别。
我也在堆栈溢出上看到了类似的问题,但这些与租赁指南的差异有关,在这里不是这种情况。
因此似乎在清单中将acceptedTokenVersion更改为2确实发生了变化,但只花了一些时间才能生效。
是的,根据我在v2令牌中的测试,受众始终是客户ID。
乍一看发行人ID看起来不错-这是代表Azure AD身份的逻辑URL。
查看JWT标头,看看它是否包含随机数值。这些似乎总是无法通过标准访问令牌验证。
如果是这样,那么使用v1 OAuth端点可能会解决它-尽管可能有其他解决方案。值得发布(经过过滤的)JWT内容的屏幕截图。