无法验证 AAD 访问令牌 - IDX10511：签名验证失败

Question

我正在尝试构建一种方法来验证我的令牌。我正在使用 Open Id Connect 授权代码流从 Azure Active Directory 检索我的令牌。我得到的令牌是 access_token 和 id_token。我正在使用 .NET Core。

我的验证码如下：

string stsDiscoveryEndpoint = "https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration";
var handler = new JwtSecurityTokenHandler();
ConfigurationManager<OpenIdConnectConfiguration> configManager = new ConfigurationManager<OpenIdConnectConfiguration>(stsDiscoveryEndpoint, new OpenIdConnectConfigurationRetriever());
OpenIdConnectConfiguration config = configManager.GetConfigurationAsync().Result;

try
{
  TokenValidationParameters validationParameters = new TokenValidationParameters
  {
     ValidIssuers = new [] { "https://login.microsoftonline.com/tenantid/v2.0" },
     ValidAudiences = new [] { "client-Id" },
     ValidateAudience = true,
     ValidateIssuer = true,
     IssuerSigningKeys = config.SigningKeys,
     ValidateLifetime = true
  };
  var tokenHandler = new JwtSecurityTokenHandler();
  SecurityToken validatedToken = null;
  tokenHandler.ValidateToken(token.AccessToken, validationParameters, out validatedToken);
  return validatedToken != null;
 }
 catch (SecurityTokenInvalidSignatureException ex)
 {
   return false;
 }
 catch(SecurityTokenValidationException)
 {
   return false;
 }

id_token BUT 下面的代码工作 对 access_token

不起作用

为 access_token 执行此方法时收到的错误消息是：

IDX10511：签名验证失败。尝试的键：'Microsoft.IdentityModel.Tokens.X509SecurityKey，KeyId：CtAAALb-8NsDe333734859crfOc '。 孩子：'CtAAALb-8NsDe333734859crfOc'。 捕获的异常： ' '

Answer 1

access_token 受众是您的 API 或 Microsoft Graph/其他第 3 方服务吗？只有验证您（您的服务）使用的令牌才有意义，其他受众将自行处理。最重要的是，该 JWT 的签名对您来说可能是不透明的。

查看更多信息 - https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/issues/812#issuecomment-456700813