Azure AD Jwt Bearer令牌

Question

我正在嘗試使用SPA UI和使用Jwt Bearer令牌進行訪問控制的Web API構建應用程序。 我可以對用戶進行身份驗證並將持有者令牌發送到Web請求，但是當我這樣做時，我收到以下錯誤

持票人未經過認證。 失敗消息：IDX10500：簽名驗證失敗。 沒有提供安全密鑰來驗證簽名。

我想讓中間件使用at中找到的密鑰集

https://login.microsoftonline.com/common/discovery/keys

但我顯然遺漏了一些東西。 下面是我的啟動中用於配置承載令牌的代碼片段。 有人能指出我哪里錯了嗎？

    var clientId = Configuration["AzureAd:ClientId"];
    var tenantId = Configuration["AzureAd:TenantId"];
    var issuer = $"https://sts.windows.net/{tenantId}/";

    services.AddAuthentication(options =>
    {
       options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
       options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
     })
      .AddJwtBearer(options =>
      {
        options.RequireHttpsMetadata = false;
        options.SaveToken = true;
        options.Authority = "https://login.microsoftonline.com/common/";

        options.TokenValidationParameters = new TokenValidationParameters()
        {
            ValidateIssuer = true,
            ValidIssuer = issuer,
            ValidateAudience = true,
            ValidAudiences = new string[] { clientId },
            ValidateLifetime = true
        };
      });

Answer 1

好吧，我剛剛在我的代碼中解決了這個問題，盡管我還在學習所有這些新東西是如何工作的。 對我來說，即使ValidateIssuerSigningKey設置為false ，我也必須設置IssuerSigningKey 。 我不知道是否需要任何特定值，但我將其設置為我在簽署JWT令牌時使用的相同值。

options.TokenValidationParameters = new TokenValidationParameters
{
    ValidateAudience = false,
    ValidateLifetime = false,
    ValidateIssuer = false,
    ValidateIssuerSigningKey = false,
    IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes("this is super secret")),
    ValidateActor = false
};