从 Azure Active Directory AuthenticationResult.AccessToken 获取 NameIdentifier

Question

我需要从 Azure AD 发送的令牌中获取名称标识符。我假设这对于 AD 的每个用户都是唯一的，并且有一些基于它的自定义授权逻辑。 例如，

AuthenticationResult result = authenticationContext.AcquireToken(webApiResourceId, certificateCredential);
string accessToken = result.AccessToken;

这个 accessToken 作为 AuthenticationHeader 被发送到 WebAPI，它解密它并获取 nameidentifier 作为

Claim tenantClaim = ClaimsPrincipal.Current.FindFirst(ClaimTypes.NameIdentifier);

但是 WebAPI 上的这个过程是透明的，由 ADAL 执行。但是，我需要在客户端本身获取 NameIdentifier。 有什么方法可以通过解密 AccessToken 在客户端本身获取 NameIdentifier 吗？我搜索时似乎没有找到正确的答案。

Answer 1

您能否详细说明为什么需要在客户端上使用 NameIdentifier？请注意，客户端不会对令牌执行任何验证，因此您不应根据令牌内容对客户端做出任何访问控制决策。服务器端可以根据令牌内容做出决定，因为令牌本身在其内容对应用程序可用之前已经过验证。 另一个重要的考虑因素：访问令牌用于 Web API，客户端不应尝试读取它。即使您设法阅读它，您也会生成极其脆弱的逻辑，因为格式可以随时更改，它可能会使用您的客户端不应该拥有的密钥进行加密，等等。 如果您出于不同原因需要访问客户端上的 NameIdentifier，您可以检查 id_token。 id 令牌是与访问令牌一起发送的另一个令牌。 id 令牌是为客户端准备的，因此您可以安全地查看。您可以在 AuthenticationResult 中找到它作为属性。 高温高压 五、