在负载均衡器后面时签名验证失败

Question

我目前在单台服务器上运行 Identity Server 4，运行良好，没有问题，除了我在 Identity Server 4 前面放置负载平衡器 (Kemp) 后，我在验证并重新路由回后收到以下错误我的应用之一。

IDX10500：签名验证失败。无法解析 SecurityKeyIdentifier：

SecurityKeyIdentifier
    (
        IsReadOnly = False,
        Count = 1,
        Clause[0] = System.IdentityModel.Tokens.NamedKeySecurityKeyIdentifierClause
    )

我已经查看了位于此处 (Signature validation failed) 的堆栈溢出问题，并且我已经在负载平衡器后面的两台服务器上安装了 SSL 证书。此外，我还阅读了 Dominick 网站上关于设置公共来源的文章，我已经完成了 - 该文章位于：https://leastprivilege.com/2017/10/09/new-in-identityserver4-v2-simplified-configuration-behind-load-balancers-or-reverse-proxies/

解决上述错误/问题的下一步是什么？

提前感谢您的帮助！

Answer 1

您遇到这种情况的原因是您没有保留数据保护密钥。基本上，IdentityServer 实现了 InMemory 数据保护，但是拥有负载均衡器对您不起作用。

您需要做的是实现IXmlRepository 并添加您自己的数据保护。它被添加到 startup.cs 中，并且在添加 IdentitiyServer 之后将其添加到管道中非常重要。比如：

services.AddIdentityServer()
.
.
.more code here (like AddProfileService() etc.)
.
.

然后（稍后在管道中），您需要：

serviceProvider = services.BuildServiceProvider();
services.AddDataProtection()
    .AddKeyManagementOptions(options =>
    {
        options.XmlRepository = serviceProvider.GetService<IXmlRepository>();
    })
    .SetDefaultKeyLifetime(TimeSpan.FromDays(7))
    .ProtectKeysWithCertificate(cert)
    .SetApplicationName("Application name");

在此之前，您需要在 DI 中注册您的 IXmlRepository 实现。就我而言：

services.AddSingleton<IXmlRepository, DataProtectionKeyStore>();

其中DataProtectionKeyStore 是IXmlRepository 的实现。

Here 是微软官方文档中的一些示例，用于保存此密钥，或者如果您想使用数据库，您也可以实现自己的逻辑（这就是我所做的）。

当然，如果您的证书一切正常（如您所说），上述所有情况都是如此。但它应该是，如果它不在负载均衡器之后工作。