在 Azure API 管理中解密不记名令牌以获取 acr_values

Question

有没有办法解密 API 管理策略中的不记名令牌，以便创建 acr_values 条件，例如租户。

看看 MS 文档，这似乎不可能，我希望实现类似的目标：

        <when condition="@(context.Request.Headers["Authorization"] --DO MAGIC HERE-- .acr_values["tenant"] == "contoso" ">
            <set-backend-service base-url="http://contoso.com/api/8.2/" />
        </when>

或者类似于此处的示例，但用于设置支持的服务：

http://devjourney.com/blog/2017/03/23/extract-jwt-claims-in-azure-api-management-policy/

我读过的文档： https://learn.microsoft.com/en-us/azure/api-management/api-management-transformation-policies#example-4

https://learn.microsoft.com/en-us/azure/api-management/policies/authorize-request-based-on-jwt-claims?toc=api-management/toc.json#policy

Answer 1

您是否尝试过 .AsJwt() 方法（https://learn.microsoft.com/en-us/azure/api-management/api-management-policy-expressions#ContextVariables）：

<policies>
<inbound>
    <base />
    <set-header name="tenant" exists-action="append">
        <value>@{
            var jwt = context.Request.Headers.GetValueOrDefault("Authorization").AsJwt();
            return jwt?.Claims.GetValueOrDefault("tenant") ?? "unknown";
        }</value>
    </set-header>
    <choose>
        <when condition="@(context.Request.Headers.GetValueOrDefault("tenant", "unknown") == "some-tenant" )">
            <set-backend-service base-url="http://contoso.com/api/8.2/" />
        </when>
    </choose>
</inbound>
<backend>
    <base />
</backend>
<outbound>
    <base />
</outbound>
<on-error>
    <base />
</on-error>

另外，我不确定您是否需要它作为后端请求的标头，如果不考虑使用设置变量策略。

Answer 2

自从这个问题得到解答以来已经过去了几年，但是当我发现一个不太详细的解决方案时，没有实际修改请求标头，我认为与其他人分享会很好：

<set-variable name="tenant" value="@{
        var authHeader = context.Request.Headers.GetValueOrDefault("Authorization", "");
        return authHeader.AsJwt()?.Claims.GetValueOrDefault("tenant", "");
}" />
...
<choose>
    <when condition="@(context.Variables.GetValueOrDefault("tenant", "") == "your-tenant-id")">