logo标签列表

Azure AD JWT令牌验证选项

azureactive-directoryazure-active-directory
4
Microsoft Azure AD文档中,JWT令牌验证流程被描述为先验证令牌签名,然后验证其声明。
因此,在不向Azure AD服务器询问令牌是否仍然有效的情况下,验证完全在客户端进行。
是否有"扩展"验证令牌的选项,例如通过查询Azure服务器,以便授予对资源访问权限的应用程序可以确信该人仍然获得授权并具有对该资源的访问权限?
1个回答
2
感谢您的回答。在以下情况下:1.用户通过AAD进行身份验证,2.用户从AAD中删除,3.用户尝试使用在步骤1中接收到的令牌访问受保护的资源由于令牌尚未过期(即使已被撤销),受保护的资源将提供信息吗? - Richard Topchii
2
在Azure AAD中,访问和身份令牌不会被吊销,只会过期。刷新令牌可以被吊销。是的,服务将考虑令牌的有效性。您需要在授权寿命和重新认证之间进行权衡。对令牌进行广泛验证是昂贵的。这就是它们被签名并具有生命周期的原因之一 - 为了加快处理速度,因为某些API在每次调用时都使用令牌,这会大大降低网络响应时间。另一个因素是吊销令牌是在全球网络/服务中同步的缓慢操作。 - John Hanley
1
如果你愿意,当然可以查询Graph API以获取用户存在和登录启用状态,但这会带来显著的吞吐量成本。 - juunas
感谢您的评论。如果我想在执行一些关键操作之前验证用户的访问权限怎么办?在这种情况下,我应该调用哪个Graph API?至于单点注销,应用程序服务器是否可以获得用户已被删除的信息? - Richard Topchii
1
@RichardTopchiy - 创建一个新的问题,因为这比评论框中能容纳的更为复杂。请考虑授予活动目录访问权限给不应该拥有它的应用程序所带来的安全隐患。在某些情况下,你的解决方案可能比问题本身更加昂贵/冒险。只需使用较短的令牌生命周期即可。 - John Hanley
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接