APIM 是否将相同的不记名令牌转发到后端 API？ | OAuth 2.0 和 Azure AAD

第一个问题：

根据我这边的一些测试，APIM 似乎可以自动将相同的 bearer token 转发到后端 api，而无需添加任何策略。

我在 APIM 中创建了一个 api，用于在后端调用 Microsoft graph api（列出用户）。测试运行 APIM api，它显示“401 Unauthorized”错误。然后我测试在 APIM api 的标头中提供不记名令牌，如下图所示：

运行成功并响应用户列表。因此，不记名令牌可以自动转发到后端 api。

第二个问题：

如果你想跟踪后端 api 的日志，我认为你可以在你的 api 的后端代码中进行。

要验证后端api中的令牌，您可以在后端api代码中解码jwt令牌，然后检查令牌中claim的值（下面我提供了一个示例来解码jwt令牌并获取

iss

using System;
using System.Collections.Generic;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace ConsoleApp5
{
    class Program
    {
        static void Main(string[] args)
        {
            var stream = "your access token";
            var handler = new JwtSecurityTokenHandler();
            var jsonToken = handler.ReadToken(stream);
            var tokenS = handler.ReadToken(stream) as JwtSecurityToken;

            var iss = tokenS.Claims.First(claim => claim.Type == "iss").Value;
            Console.WriteLine(iss);
            //Then check if "iss" matches the value you specified.

            Console.ReadLine();
        }
    }
}

第一个截图显示它可以手动完成。问题大概是它是否可以自动完成，但答案没有显示。 ChatGPT 说不能配置，只能用策略来做