Ciao a tutti sto implementando nelle mie webapi l'autenticazione tramite jwt.
sara un app multi tenancy.
Ammettiamo che ho 2 tenant(Tenant1,Tenant2 con oguno il suo db) e un metodo per ritornarmi la lista degli articoli nel mio controller ArticoliController e un metodo per generarmi il token.

Il metodo per generarmi il token sarà simile:
mywebapi.com/Tenan1/api/token

Il metodo per ritornarmi la lista sarà simile:
mywebapi.com/Tenan1/api/Articoli/getList

Nel controller c'è messo l'attributo [Authorize] e nell'header di ogni chiamata passo il token generato.

Però il problema è che se io genero il token con il tenant1 e chiamo l'url del tenant 2:
mywebapi.com/Tenan2/api/Articoli/getList

mi ritorna sempre la lista (giustamente prendendolo dal db del tenant2) quindi anche il token del tenat1 viene validato lo stesso, invece non dovrebbe essere cosi, mi aspetto che dovrebbe ritornarmi un errore 401.

come posso gestire questa situazione?
ci sono delle configurazioni oppure la logica è del tutto sbagliata?


ps:io pensavo di inserire nel token il nome del tenant e farmi un attributo Authorize custom dove mi controlla se il nome del tenant del token corrisponde a quello della chiamata, ma credo che di sicurezza ci sia poco e niente così facendo o sbaglio?