我正在尝试将Keycloak用作OpenID提供程序。 由于合规性原因,我无法使用RSA,必须使用ECDSA密钥对令牌进行签名。 我正在使用ES256对Keycloak生成的令牌进行签名。
我创建了一个简单的asp.net核心服务器,该服务器要求所有控制器进行身份验证。
这是startup.cs文件的示例:
public class Startup
{
public Startup(IConfiguration configuration)
{
Configuration = configuration;
}
public IConfiguration Configuration { get; }
// This method gets called by the runtime. Use this method to add services to the container.
public void ConfigureServices(IServiceCollection services)
{
IdentityModelEventSource.ShowPII = true;
services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
services.AddAuthentication(options => {
options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options => {
options.RequireHttpsMetadata = false;
options.Authority = "[keycloak address]";
options.Audience = "hello";
});
services.AddSingleton<IAuthorizationHandler, DebugAuthorizationHandler>();
}
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseAuthentication();
app.UseMvc();
}
}
我还有一个客户端,该客户端使用Keycloak执行身份验证,接收访问令牌,然后使用访问令牌调用asp.net核心服务器。
服务器中的调用失败,并显示以下错误代码:
info: Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerHandler[1] Failed to validate the token.
Microsoft.IdentityModel.Tokens.SecurityTokenSignatureKeyNotFoundException: IDX10501: Signature validation failed.
使用RS256对令牌进行签名时,相同的代码成功。
有人遇到过类似的问题吗?