尝试验证Azure AD令牌时出现错误“ IDX10511:签名验证失败”

时间:2020-09-12 21:31:40

标签: angular wcf jwt azure-active-directory openid-connect

我有一个Angular 10应用程序,该应用程序使用oidc向Azure AD进行身份验证。它成功获取令牌,然后对WCF服务(.net framework 4.7)进行REST调用,发送从Azure接收到的令牌。 WCF服务中的验证代码失败,并出现以下错误: IDX10511:签名验证失败。尝试的键:“ System.Text.StringBuilder”。小子:“ System.String”。捕获到异常:“ System.Text.StringBuilder”。令牌:“ System.IdentityModel.Tokens.Jwt.JwtSecurityToken”。

如果我使用Auth0进行身份验证,则相同的WCF代码就能从Auth0验证jwt,而不会出错。

以下是我的oidc客户端的UserManagerSettings:

          this.stsSettings = {
            authority: "https://login.microsoftonline.com",
            client_id: myclientId,
            redirect_uri: `${myclientRoot}signin-callback`,
            scope: "openid profile email",
            response_type: "code",
            loadUserInfo: false, // setting loadUserInfo to true causes error because CORS blocks the call to the user info endpoint.
            post_logout_redirect_uri: `${myclientRoot}signout-callback`,
            silent_redirect_uri: `${myclientRoot}assets/silent-callback.html`,
            metadata: {
              issuer: `${mystsAuthority}/${mytenantId}/v2.0`,
              authorization_endpoint: `${mystsAuthority}/${mytenantId}/oauth2/v2.0/authorize`,
              token_endpoint: `${mystsAuthority}/${mytenantId}/oauth2/v2.0/token`,
              "jwks_uri": `https://login.microsoftonline.com/${mytenantId}/discovery/v2.0/keys`,
            }

我在WCF服务中的C#代码以验证令牌

                JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler();

                JwtSecurityToken jwtToken = tokenHandler.ReadToken(token) as JwtSecurityToken;

                if (jwtToken == null)
                {
                    return null;
                }


                IConfigurationManager<OpenIdConnectConfiguration> configurationManager = new ConfigurationManager<OpenIdConnectConfiguration>($"{Properties.Settings.Default.ValidIssuer.TrimEnd('/')}/.well-known/openid-configuration", new OpenIdConnectConfigurationRetriever());

                OpenIdConnectConfiguration openIdConfig = await configurationManager.GetConfigurationAsync(CancellationToken.None);

                var validationParameters = new TokenValidationParameters()
                {
                    LifetimeValidator = LifetimeValidator,
                    ValidAudiences = new[] { Properties.Settings.Default.CommaDelimitedValidAudiences },
                    AudienceValidator = AudienceValidator,
                    ValidIssuer = Properties.Settings.Default.ValidIssuer,
                    ValidateLifetime = true,
                    RequireExpirationTime = true,
                    ValidateIssuer = true,
                    ValidateAudience = true,
                    ValidateIssuerSigningKey = false,
                    IssuerSigningKeys = openIdConfig.SigningKeys,
                    RequireSignedTokens = false
                };

                SecurityToken securityToken;
                var principal = tokenHandler.ValidateToken(token, validationParameters, out securityToken);

                return principal;
            }

            catch (Exception ex)
            {
                return null;
            }

该异常发生在代码tokenHandler.ValidateToken(token, validationParameters, out securityToken);

我尝试了各种在线建议,在Azure中添加了范围,解决了“ 0字节前缀”的问题,等等,但是它们没有用。

我从事这件事已经太久了,想法不多了。

请帮助。

谢谢

1 个答案:

答案 0 :(得分:0)

我正在发布此信息,以防其他人使用。

我主要通过在Azure AD中添加一些额外的配置来解决此问题。我去了“暴露API”并添加了一个新的作用域(保留所有默认设置,并在“作用域名称”,“管理员同意显示名称”和“管理员同意描述”字段中放置“ myapi”。然后单击“添加”一个客户端应用程序”,输入我的应用程序的客户端ID(可以在“概述”中找到),勾选“授权范围”复选框,然后单击“添加应用程序”。完成后,范围中会出现类似“ api:// 09098082309823009ljo24”的条目/ myapi”,然后将其添加到我的oidc客户端的UserManagerSettings中的范围内。该值成为令牌中的受众群体,您可能需要验证令牌。

相关问题
最新问题