Owin AAD - необходимые параметры для проверки подписи

Question

Я играл с WebAPI и пытаюсь конфигурация приложения настройки для правильной проверки подписи в WindowsAzureActiveDirectoryBearerAuthenticationOptions

Я заметил MetadataAddress поля не используется в нескольких примерах в Интернете и в AAD auth samples: https://github.com/AzureADSamples/NativeClient-WebAPI-MultiTenant-WindowsStore/blob/master/TodoListServiceMT/App_Start/Startup.Auth.cs

Когда я запускаю приложение, я заметил, что при запуске приложения есть запрос https://login.windows.net/common/federationmetadata/2007-06/federationmetadata.xml, хотя поле не установлено. Это значение по умолчанию для метаданныхAddress?

• Как работает проверка подписи, даже если адрес sts равен разных в токене?
• Какова процедура проверки в случае пользовательской службы sts?

Answer 1

Параметр арендатора, переданный в опции, достаточно, чтобы промежуточное программное обеспечение определяло местоположение документа метаданных соответствующего арендатора Azure AD. В случае применения многопользовательских приложений, поскольку вы заметили, что значение является общим. В образце мульмениантов вы можете увидеть, что существует пользовательская логика, которая берет на себя проверку эмитента (то, что вы назвали «sts address» - это скорее идентификатор). Как вы можете видеть в связанном файле, параметры отключают проверку эмитента с помощью переключателя ValidateIssuer = false. Если вы посмотрите на https://github.com/AzureADSamples/NativeClient-WebAPI-MultiTenant-WindowsStore/blob/master/TodoListServiceMT/AuthorizationFilters/MTAuthorizeAttribute.cs, вы увидите, что он выполняет логику, предназначенную для сравнения эмитента в входящем токене с списком доверенного эмитента. У вашего собственного приложения может быть другая бизнес-логика для определения того, нужно ли доверять входящему токену.