我在下有一个 AD应用(客户端ID:xyz,范围:xyz_123),还有另一个 AD应用(客户端ID:abc,作用域:abc_123) >同一租户。
假设我在服务中的jwt令牌验证代码类似于
.AddJwtBearer(o =>
{
o.Authority = Configuration["Authentication:Authority"];
o.TokenValidationParameters = new microsoft.IdentityModel.Tokens.TokenValidationParameters
{
ValidAudiences = new List<string>
{
xyz,xyz_123
}
};
所以现在,当我生成一个带有Grant_type作为客户端凭据和客户端ID:abc和resource_id:xyz_123 的承载令牌并启动我的服务时,身份验证就成功了。
是这种预期的行为。为什么当AD应用程序(客户端ID:abc)被没有的资源/作用域(xyz_123)击中时,会授予承载令牌。同一租户下的所有AD应用程序实例都可以访问其所有范围吗?