IDX10501:签名验证失败。无法匹配密钥

时间:2019-11-14 12:25:15

标签: c# asp.net-core azure-active-directory openid

亲爱的

请帮助我了解ASP netcore应用程序和Netcore Kestler托管应用程序进行的JWT令牌验证之间的区别。

有两个使用以下源代码验证令牌的应用程序:

public static IServiceCollection AddJwtToken(this IServiceCollection services, OAuthConfig config)
{
    services.AddMvc();
    services.AddAuthorization();

    Logger.DebugFormat("AddJwtBearer authority:{0} audience:{1}", config.GetAuthority(), config.Resource);

    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options => new JwtBearerOptions
        {
            Authority = config.GetAuthority(),
            Audience = config.Resource,
    });

    return services;
}

这非常简单,并且如果要从asp net core 2.2应用程序验证令牌,它会很好地工作

// in the asp.net core
var builder = WebHost.CreateDefaultBuilder(args);
builder
        .UseStartup<Startup>()
        .ConfigureKestrel(_ => _.ConfigureEndpoints())
        .UseSerilog();

还有另一个应用程序(控制台),该应用程序使用UseKestler

启动同一休息服务主机
//in the console app
var builder = WebHost.CreateDefaultBuilder()
    .UseNLog()
    .UseKestrel(_ => _.ConfigureEndpoints())
    .UseStartup<Startup>();

唯一的显着区别是,通过UseKestler在控制台中的asp.net核心有ConfigureKestler

使用相同的源代码(和配置)从Azure AD获取令牌。 请以the gist here的形式找到它。 它被配置为从https://login.microsoftonline.com/{tenant}/v2.0提供程序获取令牌。两种情况都使用相同的令牌端点,clientid,secret和scope值。

问题是AddJwtBearer在asp.net核心中验证令牌,而在控制台应用程序中则无效。 错误是

Microsoft.IdentityModel.Tokens.SecurityTokenSignatureKeyNotFoundException: IDX10501: Signature validation failed. Unable to match keys:
kid: 'BB8CeFVqyaGrGNuehJIiL4dfjzw',
token: '{"typ":"JWT","alg":"RS256","kid":"BB8CeFVqyaGrGNuehJIiL4dfjzw"}.{"aud":"2c163c99-935b-4362-ae0d-657f589f5565","iss":"https://login.microsoftonline.com/{tenantidhere}/v2.0

为什么asp.net核心主机验证令牌(对于第一个AddJwtBearer实现)而控制台主机失败?

谢谢

2 个答案:

答案 0 :(得分:3)

在我的情况下,同样的错误是由于疏忽地使用了从一个环境(https:// dev / identity)接收并在另一个环境(即http:// local / identity)中验证过的令牌

答案 1 :(得分:1)

要解决此错误,我必须从openid提供程序中加载密钥,如下所示:

Logger.DebugFormat("AddJwtBearer authority:{0} audience:{1}", config.GetAuthority(), config.Resource);

IList<string> validissuers = new List<string>()
{
    config.GetAuthority(),
};

var configManager = new ConfigurationManager<OpenIdConnectConfiguration>($"{validissuers.Last()}/.well-known/openid-configuration", new OpenIdConnectConfigurationRetriever());

var openidconfig = configManager.GetConfigurationAsync().Result;

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, _ =>
    {
        _.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters()
        {
            ValidateAudience = true,
            ValidAudience = config.Resource,

            ValidateIssuer = true,
            ValidIssuers = new[] { config.GetAuthority() },

            ValidateIssuerSigningKey = true,
            IssuerSigningKeys = openidconfig.SigningKeys,

            RequireExpirationTime = true,
            ValidateLifetime = true,
            RequireSignedTokens = true,
        };

        _.RequireHttpsMetadata = false;

    });

它开始适用于两种情况。但是,旧的AddJwtBearer实现和新的实现(与密钥验证有关)有什么区别?使用IssuerSigningKeys = openidconfig.SigningKeys下载和提供的密钥,但是为什么.well-known/openid-configuration中间件不使用AddJwtBearer自动加载密钥?