Ssl Azure API管理-验证JWT-禁用证书验证
是否有人在使用Azure API管理方面有经验,特别是在使用策略模型验证发送给它的JWT令牌方面 我已正确配置了Ssl Azure API管理-验证JWT-禁用证书验证,ssl,certificate,jwt,azure-api-management,Ssl,Certificate,Jwt,Azure Api Management,是否有人在使用Azure API管理方面有经验,特别是在使用策略模型验证发送给它的JWT令牌方面 我已正确配置了标记,但我的令牌签名不对称,因此我需要使用标记让系统知道从何处获取公钥 在这样做时,系统将通过SSL/TLS调用该url,但在我的例子中,主机被配置为提供带有自签名证书的SSL/TLS 有没有办法禁用此功能?我知道官方文档提到在调用后端API时禁用证书验证,但这是一个面向前端的API。设置似乎不起作用 我还试图滥用策略的声明性模型,以某种方式运行禁用该模型的C#代码,但没有效果 有人知
标记,但我的令牌签名不对称,因此我需要使用
标记让系统知道从何处获取公钥
在这样做时,系统将通过SSL/TLS调用该url,但在我的例子中,主机被配置为提供带有自签名证书的SSL/TLS
有没有办法禁用此功能?我知道官方文档提到在调用后端API时禁用证书验证,但这是一个面向前端的API。设置似乎不起作用
我还试图滥用策略的声明性模型,以某种方式运行禁用该模型的C#代码,但没有效果
有人知道其他的方法吗?禁用验证或强制信任自签名证书
谢谢,祝你过得愉快
编辑:我的配置是这样的:
<validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized" require-expiration-time="true" require-scheme="https" require-signed-tokens="true">
<openid-config url="https://identityserverhost/.well-known/openid-configuration" />
<audiences>
<audience>audience</audience>
</audiences>
<issuers>
<issuer>issuer</issuer>
</issuers>
</validate-jwt>
是通过https提供的,但是有一个自签名证书,如果这让它更清楚的话。我认为目前不可能,但这将是一个很好的功能。如果您对此感到满意,可以在openid配置中切换到http而不是https。如果您有证书,可以将其加载到API管理中
并通过以下策略验证令牌
<issuer-signing-keys>
<key certificate-id="my-rsa-cert" />
</issuer-signing-keys>
感谢您的回复。我认为获得一个正确签名的证书似乎是目前对我来说最好的选择。