Próbuję zaimplementować uwierzytelnianie i identyfikację na wieloplatformowej aplikacji mobilnej korzystającej z usługi WebApi.

Mój plan polega na wyeksportowaniu uwierzytelnienia do federacyjnej usługi w chmurze, takiej jak nowa usługa Azure Mobile. Aplikacja Client Mobile zużywa przepływ uwierzytelniania usługi mobilnej, pobiera token i będzie go wysyłała do nagłówków żądań do WebApi, która z kolei ją zweryfikuje i wyodrębni z niej UserId.

Zakładając, że już skonfigurowałem WebApi do sprawdzania poprawności tokenów JWTDelegatingHandler przechwytywacz, czy można zweryfikować tokeny wydane przez usługę mobilną Azure?

Jakie byłyby prawidłowe wartości dla SymmetricKey, Emitenta i Audience?

Czy idę w dobrym kierunku?