Question

我正在尝试使用SPA UI和使用Jwt Bearer令牌进行访问控制的Web API构建应用程序。我可以验证用户并将持有者令牌发送到Web请求，但是当我这样做时，我收到以下错误

Bearer未经过身份验证。失败消息：IDX10500：签名验证失败。没有提供安全密钥来验证签名。

我希望中间件使用

中的密钥集

https://login.microsoftonline.com/common/discovery/keys

但我显然遗漏了一些东西。下面是我的启动中用于配置承载令牌的代码片段。有人可以指出我出错的地方吗？

    var clientId = Configuration["AzureAd:ClientId"];
    var tenantId = Configuration["AzureAd:TenantId"];
    var issuer = $"https://sts.windows.net/{tenantId}/";

    services.AddAuthentication(options =>
    {
       options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
       options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
     })
      .AddJwtBearer(options =>
      {
        options.RequireHttpsMetadata = false;
        options.SaveToken = true;
        options.Authority = "https://login.microsoftonline.com/common/";

        options.TokenValidationParameters = new TokenValidationParameters()
        {
            ValidateIssuer = true,
            ValidIssuer = issuer,
            ValidateAudience = true,
            ValidAudiences = new string[] { clientId },
            ValidateLifetime = true
        };
      });

Answer 1

好吧，我刚刚在我的代码中解决了这个问题，尽管我还在学习所有这些新东西是如何工作的。对我来说，即使IssuerSigningKey设置为ValidateIssuerSigningKey，我也必须设置false。我不知道是否需要任何特定值，但我将其设置为我在签署JWT令牌时使用的相同值。

options.TokenValidationParameters = new TokenValidationParameters
{
    ValidateAudience = false,
    ValidateLifetime = false,
    ValidateIssuer = false,
    ValidateIssuerSigningKey = false,
    IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes("this is super secret")),
    ValidateActor = false
};

Azure AD Jwt Bearer令牌

1 个答案: