如何安全地实现从windows服务到公共WebApi的多租户访问

我正试图弄清楚如何实现一个windows服务（Headless），该服务可以配置为在多租户场景中与我们的WebApi对话。我能找到的最接近的例子是这里发布的在守护进程或长时间运行的进程中调用web API的例子。这个示例的问题是没有显示如何处理多租户场景。如果你为每个租户使用相同的AppKey，如果有人决定在应用程序中搜索ClientID和AppKey，你不可能模拟另一个租户吗？似乎解决这一问题的一种方法是为加入我们服务的每个租户生成一个新的AppKey。当客户安装服务时，需要将此AppKey作为配置参数提供给windows服务。这是正确的方法吗？这似乎不是正确的方向，因为从AAD门户网站上看，哪个AppKey与哪个租户关联并不明显。看来你得自己处理。我知道作为权限的一部分，您必须传递租户ID，但这些ID与AppKey或密码不同。对于这种情况，正确的方法是什么？

我还看了这个示例构建一个由Azure AD保护的多对映web API。不幸的是，这个示例是一个windows商店应用程序。它有UI，所以它可以和AAD一起跳典型的同意舞。显然，我的windows服务不能使用这种方法。我可能能够在windows服务中自托管WebApp，强制用户至少经过一次同意过程，因此令牌像本示例中那样缓存。但是，我使用什么作为重定向URL？这不是一个Windows商店应用程序，所以我不能使用

WebAuthenticationBroker.GetCurrentApplicationCallbackUri();

我不清楚这种情况是否得到支持。