如何解决尝试验证Azure AD令牌时出现错误“ IDX10511:签名验证失败”
我有一个Angular 10应用程序,该应用程序使用oidc向Azure AD进行身份验证。它成功获取令牌,然后对WCF服务(.net framework 4.7)进行REST调用,发送从Azure接收到的令牌。 WCF服务中的验证代码失败,并出现以下错误: IDX10511:签名验证失败。尝试的键:“ System.Text.StringBuilder”。小子:“ System.String”。捕获到异常:“ System.Text.StringBuilder”。令牌:“ System.IdentityModel.Tokens.Jwt.JwtSecurityToken”。
如果我使用Auth0进行身份验证,则相同的WCF代码就能从Auth0验证jwt,而不会出错。
以下是我的oidc客户端的UserManagerSettings:
this.stsSettings = {
authority: "https://login.microsoftonline.com",client_id: myclientId,redirect_uri: `${myclientRoot}signin-callback`,scope: "openid profile email",response_type: "code",loadUserInfo: false,// setting loadUserInfo to true causes error because CORS blocks the call to the user info endpoint.
post_logout_redirect_uri: `${myclientRoot}signout-callback`,silent_redirect_uri: `${myclientRoot}assets/silent-callback.html`,metadata: {
issuer: `${mystsAuthority}/${mytenantId}/v2.0`,authorization_endpoint: `${mystsAuthority}/${mytenantId}/oauth2/v2.0/authorize`,token_endpoint: `${mystsAuthority}/${mytenantId}/oauth2/v2.0/token`,"jwks_uri": `https://login.microsoftonline.com/${mytenantId}/discovery/v2.0/keys`,}
我在WCF服务中的C#代码以验证令牌
JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler();
JwtSecurityToken jwtToken = tokenHandler.ReadToken(token) as JwtSecurityToken;
if (jwtToken == null)
{
return null;
}
IConfigurationManager<OpenIdConnectConfiguration> configurationManager = new ConfigurationManager<OpenIdConnectConfiguration>($"{Properties.Settings.Default.ValidIssuer.TrimEnd('/')}/.well-known/openid-configuration",new OpenIdConnectConfigurationRetriever());
OpenIdConnectConfiguration openIdConfig = await configurationManager.GetConfigurationAsync(CancellationToken.None);
var validationParameters = new TokenValidationParameters()
{
LifetimeValidator = LifetimeValidator,ValidAudiences = new[] { Properties.Settings.Default.CommaDelimitedValidAudiences },AudienceValidator = AudienceValidator,ValidIssuer = Properties.Settings.Default.ValidIssuer,ValidateLifetime = true,RequireExpirationTime = true,ValidateIssuer = true,ValidateAudience = true,ValidateIssuerSigningKey = false,IssuerSigningKeys = openIdConfig.SigningKeys,RequireSignedTokens = false
};
SecurityToken securityToken;
var principal = tokenHandler.ValidateToken(token,validationParameters,out securityToken);
return principal;
}
catch (Exception ex)
{
return null;
}
该异常发生在代码tokenHandler.ValidateToken(token,out securityToken);
我尝试了各种在线建议,在Azure中添加了范围,解决了“ 0字节前缀”的问题,等等,但是它们没有用。
我从事这件事已经太久了,想法不多了。
请帮助。
谢谢
解决方法
我正在发布此信息,以防其他人使用。
我主要通过在Azure AD中添加一些额外的配置来解决此问题。我去了“暴露API”并添加了一个新的作用域(保留所有默认设置,并在“作用域名称”,“管理员同意显示名称”和“管理员同意描述”字段中放置“ myapi”。然后单击“添加”一个客户端应用程序”,输入我的应用程序的客户端ID(可以在“概述”中找到),勾选“授权范围”复选框,然后单击“添加应用程序”。完成后,范围中会出现类似“ api:// 09098082309823009ljo24”的条目/ myapi”,然后将其添加到我的oidc客户端的UserManagerSettings中的范围内。该值成为令牌中的受众群体,您可能需要验证令牌。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。