这是Linqpad中对JwtSecurityTokenHandler 4.0.0的简化测试。该代码与JwtSecurityTokenHandler 3.0.2配合使用时,令牌已生成并经过验证。在4.0.0中,进行必要的更改后,我不断收到SecurityTokenSignatureKeyNotFoundException:IDX10500:签名验证失败。无法解析SecurityKeyIdentifier。显然有些更改,或者我做错了,新版本更加严格。有什么建议?
string jwtIssuer = "issuer";
string jwtAudience = "audience";
X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly);
X509Certificate2 cert = store.Certificates.OfType<X509Certificate2>().FirstOrDefault( c => c.SubjectName.Name.Equals("CN=DEV_CERT", StringComparison.OrdinalIgnoreCase));
store.Close();
// Token generation and signing
X509SigningCredentials signingCredentials = new X509SigningCredentials(cert);
JwtSecurityTokenHandler jwtHandler = new JwtSecurityTokenHandler();
IList<System.Security.Claims.Claim> payloadClaims = new List<System.Security.Claims.Claim>() {
new System.Security.Claims.Claim(System.Security.Claims.ClaimTypes.Name , "name"),
};
#if JWT302
Lifetime lifetime = new Lifetime(DateTime.UtcNow, DateTime.UtcNow.AddSeconds(24*60*60));
JwtSecurityToken jwt = new JwtSecurityToken( jwtIssuer, jwtAudience, payloadClaims, lifetime, signingCredentials);
#else
JwtSecurityToken jwt = new JwtSecurityToken( jwtIssuer, jwtAudience, payloadClaims, DateTime.UtcNow, DateTime.UtcNow.AddSeconds(24*60*60), signingCredentials);
#endif
string token = jwtHandler.WriteToken(jwt);
// Token validation
var signingToken = new RsaSecurityToken((RSACryptoServiceProvider)cert.PublicKey.Key);
JwtSecurityTokenHandler jwtHandler2 = new JwtSecurityTokenHandler();
#if JWT302
TokenValidationParameters vp = new TokenValidationParameters() {
AllowedAudience = jwtAudience,
ValidIssuer = jwtIssuer,
ValidateIssuer = true
,SigningToken = signingToken
};
var principal = jwtHandler2.ValidateToken(token, vp);
#else
TokenValidationParameters vp = new TokenValidationParameters() {
ValidAudience = jwtAudience,
ValidIssuer = jwtIssuer,
ValidateIssuer = true
,IssuerSigningToken = signingToken
};
SecurityToken validatedToken;
var principal = jwtHandler2.ValidateToken(token, vp, out validatedToken);
#endif
最佳答案
如果发生以下情况,则抛出此异常:
jwt有一个“孩子”
运行时无法匹配任何SigningToken。
在调查此问题时,您可以使用委托TokenValidationParameters.IssuerSigningKeyResolver直接返回在检查签名时使用的签名密钥。
要实现此设置:将TokenValidationParameters.IssuerSigningkeyResolver转换为一个函数,该函数将返回您在TokenValidationParameters.SigningToken中设置的相同密钥。该委托的目的是指示运行时忽略任何“匹配”语义,而仅尝试键。
如果签名验证仍然失败,则可能是关键问题。
如果签名验证没有失败,则运行时可能需要修复。
如果您可以向我们提供一个使用该公钥签名的jwt,则将有助于我们进行修复。
多谢您尝试,不便之处,敬请见谅。