Identity Server 4 发出 JWT 验证失败

Question

我有一个基于 IdentityServer 4 (.Net Core v2) 运行的 Identity Server，目标是完整的 .Net 框架，并且我有一个针对 ASP.Net Web API 2（即 NOT .Net Core）构建的 ASP.NET WebAPI正在使用 Identity Server 3 OWIN 中间件进行令牌身份验证。

在本地运行时，一切正常 - 我可以使用 Postman 使用 RO 密码流从身份服务器请求访问令牌，然后我可以向 WebAPI 发出请求，将令牌作为不记名令牌发送 - 所有工作正常。

现在，当一切都托管在我们的测试服务器上时，我在调用 WebAPI 时遇到了问题 - 我只是收到了未经授权的响应。从身份服务器返回的令牌没有问题（使用 http://jwt.io 检查），但在 WebAPI 中验证 JWT 失败。 在进一步调查中，添加 Katana 日志记录后，我看到正在报告 SecurityTokenInvalidAudienceException。

观众验证失败。观众： 'https://11.22.33.44:1234/resources，XXXWebApi'。不匹配： 验证参数.ValidAudience: 'https://localhost:1234/resources' 或 validationParameters.ValidAudiences: 'null'

看看智威汤逊的观众，我们有：

aud: "https://11.22.33.44:1234/resources", "XXXWebApi"

在 WebAPI 启动中，我调用了

app.UseIdentityServerBearerTokenAuthentication(new IdentityServerBearerTokenAuthenticationOptions
        {
            Authority = , // path to our local ID Server
            ClientId = "XXXWebApi",
            ClientSecret = "XXX_xxx-xxx-xxx-xxx",
            RequiredScopes = new[] { "XXXWebApi" }
        });

所以 JWT 受众看起来不错，但它显然与中间件提供的内容不匹配（从 IdP 发现端点构建）。我会认为是因为我指定了RequiredScopes 以包含足以匹配JWT 受众的XXXWebApi，但这似乎被忽略了。

我不确定要在 WebAPI 身份验证选项中进行哪些更改才能使其正常工作。

编辑：我更改了 WebAPI 令牌身份验证选项以使用验证端点，这在 IdentityServer 中也失败并出现相同的错误。 如果我使用相同的令牌直接从 Postman 调用 Identity Server 自省端点，它会成功。

Answer 1

据我了解，您的 WebAPI 项目被用作 API 资源。

如果是这样 - 从UseIdentityServerBearerTokenAuthentication 中删除“clientId”和“clientSecret”，保留“RequiredScopes”和权限（您可能还需要设置ValidationMode = ValidationMode.Both）。

当您使用参考令牌时，您需要它们。从你所说的 - 你正在使用 JWT 一个。检查here、here和here。

Answer 2

好的，所以经过大量的挠头和尝试各种事情后，我至少有一些工作。

我必须确保 Identity Server 是针对公开可用的 DNS 托管的，并在 IdentityServerBearerTokenAuthenticationOptions 中配置授权值以使用相同的值。

这样，任何颁发的令牌在 JWT 受众 (aud) 中都具有 xx.yy.zz 完整域名，并且当 WebAPI 中的 OWIN 验证中间件验证 JWT 时，它使用相同的地址而不是 localhost 进行比较。

我仍然有点困惑，为什么中间件不能只使用范围值进行验证，因为令牌是在受众中使用 API 资源范围 (XXXWebAPi) 发出的，并且 API 在如图所示。