应用程序是多租户应用程序。我们已经实现了自定义验证设置ValidateIssuer = false,ValidateAudience = false,ValidateLifetime = false 我们已经扩展了JwtSecurityTokenHandler类,有没有办法检查声明过期令牌时间,如iat。
答案 0 :(得分:0)
受众和终身验证是多租户应用程序中的默认验证逻辑,您最好在JwtSecurityTokenHandler中启用ValidateAudience / ValidateLifetime,如果要自定义令牌生存期验证逻辑,可以将自己的TokenValidationParameters.LifetimeValidator实现传递给实现这一点。
访问令牌是基本64位编码的JSON Web令牌(JWT),可以通过解码器运行来检查其内容。您可以解码访问令牌并检查Not Before和Expiration Time(exp)声明以验证令牌是否已过期。请参阅Azure AD token reference。