我有Azure AD B2C，并且正在使用它来保护Azure功能。用户通过在 header 中提供JWT承载 token 进行授权来使用Azure功能进行身份验证。

这一切都正常工作。

我现在尝试在“身份验证/授权”配置面板中应用“允许 token 受众”。



我以为“允许 token 受众”将验证我的JWT token 的受众声明(aud)-对于我的JWT token ，该声明与我的客户ID相匹配。

事实并非如此。我为“允许 token 受众”提供的所有值都不正确，但是用户仍然成功通过了身份验证。

应该如何使用“允许 token 受众”？

根据评论，问题似乎在于客户ID被接受为受众。这是预期的行为。 App Service始终允许客户端ID和基本站点URL(yoursite.azurewebsites.net)作为有效的受众。 “允许 token 受众”选项旨在提供更多的受众，例如您是否正在使用自定义域等。

这无疑是令人困惑的。可能有一些UX改进可以更好地传达这种信息(信息提示框，无法删除的列表条目等)。