JwtSecurityTokenHandler 4.0.0 重大变化？

Question

这是 Linqpad 中 JwtSecurityTokenHandler 4.0.0 的简化测试。该代码适用于 JwtSecurityTokenHandler 3.0.2，生成并验证了令牌。在 4.0.0 中，经过必要的更改后，我不断收到 SecurityTokenSignatureKeyNotFoundException: IDX10500: Signature validation failed。无法解析 SecurityKeyIdentifier。显然有些事情发生了变化，或者我做错了什么，新版本更加严格。有什么建议吗？

string jwtIssuer = "issuer";
string jwtAudience = "audience";

X509Store store = new X509Store(StoreName.My,  StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly);
X509Certificate2 cert = store.Certificates.OfType<X509Certificate2>().FirstOrDefault( c => c.SubjectName.Name.Equals("CN=DEV_CERT", StringComparison.OrdinalIgnoreCase));
store.Close();
// Token generation and signing
X509SigningCredentials signingCredentials = new X509SigningCredentials(cert);
JwtSecurityTokenHandler jwtHandler = new JwtSecurityTokenHandler();
IList<System.Security.Claims.Claim> payloadClaims = new List<System.Security.Claims.Claim>() { 
    new System.Security.Claims.Claim(System.Security.Claims.ClaimTypes.Name , "name"), 
};

#if JWT302
    Lifetime lifetime = new Lifetime(DateTime.UtcNow, DateTime.UtcNow.AddSeconds(24*60*60));
    JwtSecurityToken jwt = new JwtSecurityToken( jwtIssuer, jwtAudience, payloadClaims,  lifetime, signingCredentials);
#else
    JwtSecurityToken jwt = new JwtSecurityToken( jwtIssuer, jwtAudience, payloadClaims, DateTime.UtcNow, DateTime.UtcNow.AddSeconds(24*60*60), signingCredentials);
#endif

string token = jwtHandler.WriteToken(jwt); 

// Token validation
var signingToken = new RsaSecurityToken((RSACryptoServiceProvider)cert.PublicKey.Key);

JwtSecurityTokenHandler jwtHandler2 = new JwtSecurityTokenHandler();

#if JWT302
TokenValidationParameters vp = new TokenValidationParameters() {  
                                        AllowedAudience = jwtAudience, 
                                        ValidIssuer = jwtIssuer,
                                        ValidateIssuer = true
                                        ,SigningToken = signingToken 
                                        };

    var principal  = jwtHandler2.ValidateToken(token, vp);
#else
TokenValidationParameters vp = new TokenValidationParameters() { 
                                        ValidAudience = jwtAudience, 
                                        ValidIssuer = jwtIssuer,
                                        ValidateIssuer = true
                                        ,IssuerSigningToken = signingToken 
                                        };

    SecurityToken validatedToken;

    var principal  = jwtHandler2.ValidateToken(token, vp, out validatedToken);
#endif

Answer 1

在以下情况下会引发此异常：

1. jwt 有一个“孩子”
2. 运行时无法匹配任何 SigningToken。

在我们调查该问题时，您可以使用委托 TokenValidationParameters.IssuerSigningKeyResolver 直接返回签名密钥以在检查签名时使用。

要实现此设置：TokenValidationParameters.IssuerSigningkeyResolver 到一个函数，该函数将返回您在上面在 TokenValidationParameters.SigningToken 中设置的相同密钥。此委托的目的是指示运行时忽略任何“匹配”语义并尝试密钥。

如果签名验证仍然失败，可能是关键问题。

如果签名验证没有失败，运行时可能需要修复。

如果您可以向我们提供使用该公钥签名的 jwt，这将有助于我们进行修复。

感谢您试一试，麻烦您了。

Answer 2

抱歉，您遇到了问题。我们将更多地关注上面的内容，看看可能出了什么问题。同时，我建议查看https://github.com/AzureADSamples/WebAPI-ManuallyValidateJwt-DotNet，尤其是 global.asax.cs - 这是我们使用 JWT 处理程序的原始使用的示例。 高温高压 五、