将 Bot Framework Bot 用作 Azure Web App 突然没有配置更改命中 SecurityTokenSignatureKeyNotFoundException: IDX10501

Question

我一直在训练自己构建一个与 MS Teams 集成的机器人。

我已经按照教程构建了一个简单的 echo bot，并进一步使用了 Visual Studio 2019 插件，用于 .Net Core 3.1 之上的 Bot Framework 版本 4。

一个多星期前，我有两个工作机器人使用该框架并执行非常简单的任务。

Bot bot 被部署为 Azure Web 应用程序 - 我可以在 Teams Chat 中输入一些内容，然后 bot 会做出响应。都很好。

今天，距离我的项目大约 24 小时后，same 使用 same 网络应用程序在 same 团队实例中进行聊天尝试和传递他们刚刚停止工作的相同凭据（应用程序 ID 和应用程序密码）。从日志中，我可以看到名为 Microsoft.AspNetCore.Server.IIS.Core.IISHttpServer 的类别检测到事件 ID ApplicationError 和日志消息 Connection ID "15924728283992716557", Request ID "8000750e-0000-dd00-b63f-84710c7967bb": An unhandled exception was thrown by the application. 的未处理异常

异常本身如下：

Microsoft.IdentityModel.Tokens.SecurityTokenSignatureKeyNotFoundException: IDX10501: Signature validation failed. Unable to match key: 
kid: '[PII is hidden. For more details, see https://aka.ms/IdentityModel/PII.]'.
Exceptions caught:
 '[PII is hidden. For more details, see https://aka.ms/IdentityModel/PII.]'. 
token: '[PII is hidden. For more details, see https://aka.ms/IdentityModel/PII.]'.
   at System.IdentityModel.Tokens.Jwt.JwtSecurityTokenHandler.ValidateSignature(String token, TokenValidationParameters validationParameters)
   at System.IdentityModel.Tokens.Jwt.JwtSecurityTokenHandler.ValidateToken(String token, TokenValidationParameters validationParameters, SecurityToken& validatedToken)
   at Microsoft.Bot.Connector.Authentication.JwtTokenExtractor.ValidateTokenAsync(String jwtToken, String channelId, String[] requiredEndorsements)
   at Microsoft.Bot.Connector.Authentication.JwtTokenExtractor.GetIdentityAsync(String scheme, String parameter, String channelId, String[] requiredEndorsements)
   at Microsoft.Bot.Connector.Authentication.JwtTokenExtractor.GetIdentityAsync(String authorizationHeader, String channelId, String[] requiredEndorsements)
   at Microsoft.Bot.Connector.Authentication.ChannelValidation.AuthenticateChannelToken(String authHeader, ICredentialProvider credentials, HttpClient httpClient, String channelId, AuthenticationConfiguration authConfig)
   at Microsoft.Bot.Connector.Authentication.ChannelValidation.AuthenticateChannelToken(String authHeader, ICredentialProvider credentials, String serviceUrl, HttpClient httpClient, String channelId, AuthenticationConfiguration authConfig)
   at Microsoft.Bot.Connector.Authentication.JwtTokenValidation.AuthenticateTokenAsync(String authHeader, ICredentialProvider credentials, IChannelProvider channelProvider, String channelId, AuthenticationConfiguration authConfig, String serviceUrl, HttpClient httpClient)
   at Microsoft.Bot.Connector.Authentication.JwtTokenValidation.ValidateAuthHeader(String authHeader, ICredentialProvider credentials, IChannelProvider channelProvider, String channelId, AuthenticationConfiguration authConfig, String serviceUrl, HttpClient httpClient)
   at Microsoft.Bot.Connector.Authentication.JwtTokenValidation.AuthenticateRequest(IActivity activity, String authHeader, ICredentialProvider credentials, IChannelProvider provider, AuthenticationConfiguration authConfig, HttpClient httpClient)
   at Microsoft.Bot.Builder.BotFrameworkAdapter.ProcessActivityAsync(String authHeader, Activity activity, BotCallbackHandler callback, CancellationToken cancellationToken)
   at Microsoft.Bot.Builder.Integration.AspNet.Core.BotFrameworkHttpAdapter.ProcessAsync(HttpRequest httpRequest, HttpResponse httpResponse, IBot bot, CancellationToken cancellationToken)
   at EchoBot1.Controllers.BotController.PostAsync() in C:\Ops\Development\Users\Stephan\EchoBot1\EchoBot1\Controllers\BotController.cs:line 34
   at lambda_method(Closure , Object )
   at Microsoft.Extensions.Internal.ObjectMethodExecutorAwaitable.Awaiter.GetResult()
   at Microsoft.AspNetCore.Mvc.Infrastructure.ActionMethodExecutor.AwaitableResultExecutor.Execute(IActionResultTypeMapper mapper, ObjectMethodExecutor executor, Object controller, Object[] arguments)
   at Microsoft.AspNetCore.Mvc.Infrastructure.ControllerActionInvoker.<InvokeActionMethodAsync>g__Awaited|12_0(ControllerActionInvoker invoker, ValueTask`1 actionResultValueTask)
   at Microsoft.AspNetCore.Mvc.Infrastructure.ControllerActionInvoker.<InvokeNextActionFilterAsync>g__Awaited|10_0(ControllerActionInvoker invoker, Task lastTask, State next, Scope scope, Object state, Boolean isCompleted)
   at Microsoft.AspNetCore.Mvc.Infrastructure.ControllerActionInvoker.Rethrow(ActionExecutedContextSealed context)
   at Microsoft.AspNetCore.Mvc.Infrastructure.ControllerActionInvoker.Next(State& next, Scope& scope, Object& state, Boolean& isCompleted)
   at Microsoft.AspNetCore.Mvc.Infrastructure.ControllerActionInvoker.<InvokeInnerFilterAsync>g__Awaited|13_0(ControllerActionInvoker invoker, Task lastTask, State next, Scope scope, Object state, Boolean isCompleted)
   at Microsoft.AspNetCore.Mvc.Infrastructure.ResourceInvoker.<InvokeFilterPipelineAsync>g__Awaited|19_0(ResourceInvoker invoker, Task lastTask, State next, Scope scope, Object state, Boolean isCompleted)
   at Microsoft.AspNetCore.Mvc.Infrastructure.ResourceInvoker.<InvokeAsync>g__Logged|17_1(ResourceInvoker invoker)
   at Microsoft.AspNetCore.Routing.EndpointMiddleware.<Invoke>g__AwaitRequestTask|6_0(Endpoint endpoint, Task requestTask, ILogger logger)
   at Microsoft.AspNetCore.Authorization.AuthorizationMiddleware.Invoke(HttpContext context)
   at Microsoft.AspNetCore.Server.IIS.Core.IISHttpContextOfT`1.ProcessRequestAsync()

该堆栈跟踪中的每个条目都是 Asp .Net Core 框架或 Bot 框架的一部分。唯一的例外是条目：

at EchoBot1.Controllers.BotController.PostAsync() in C:\Ops\Development\Users\Stephan\EchoBot1\EchoBot1\Controllers\BotController.cs:line 34

不出所料，我的控制器中第 34 行的代码是：

    [HttpPost, HttpGet]
    public async Task PostAsync()
    {
        // Delegate the processing of the HTTP POST to the adapter.
        // The adapter will invoke the bot.
        await Adapter.ProcessAsync(Request, Response, Bot);  // LINE 34 - EXCEPTION HERE
    }

此代码与使用 Bot Framework v4 时由 Visual Studio 构建的完全一样。

这有点令人失望，因为我的理解是 Bot Framework 的主要好处之一是它提供了必要的安全握手，但是当它不起作用时，我完全不知道如何开始调试这个。

我将不胜感激有关查找问题的过程的任何见解或遇到此问题的其他人的任何经验。谢谢。

============ 编辑 - 添加其他信息最初被隐藏 =============

在我在最初的问题中引用的例外情况中，根据 Microsoft 的 GDPR 政策，各种元素都被掩盖了。我按照以下说明“隐藏”它们：https://aka.ms/IdentityModel/PII

这样，我得到了这些附加信息，这些信息表明除了无法将安全密钥与哈希匹配之外，处理过程中没有异常。 （我已经确认是正确的）。

这里是附加信息，只是被我手动隐藏了一点：

Microsoft.IdentityModel.Tokens.SecurityTokenSignatureKeyNotFoundException: IDX10501: Signature validation failed. Unable to match key: 
kid: 'KeyIHaveObsuredPresumablyFailsToMatchHash'.
Exceptions caught:
 ''. 
token: '{"alg":"RS256","kid":"KeyIHaveObsuredPresumablyFailsToMatchHash","typ":"JWT","x5t":"KeyIHaveObsuredPresumablyFailsToMatchHash"}.{"serviceurl":"https://smba.trafficmanager.net/amer/","nbf":1628123535,"exp":1628127135,"iss":"https://api.botframework.com","aud":"CorrectAppIdGuid"}'.

.... And Stack Trace as before ....

Answer 1

来自微软的额外更新 2021 年 8 月 20 日 不是一个非常令人满意的答案，但我怀疑这就是我将要得到的全部：

问题的发生是因为内部进行了与具有公钥的端点相关的配置更改。这导致众所周知的密钥存储中缺少密钥。但是这个问题现在已经得到解决，并且已经采取了适当的措施来确保现有的密钥不受影响。

另外...

通常情况下，有关 Azure 资源的中断信息会发布在状态链接 I have shared earlier 中。因此，在未来，如果一般来说由于资源下降而发生一些重大问题，我们可以期待它会在那里更新。

最后w.r.t.防御性编程：

对于这个特定的错误，任何异常处理都可能无法解决问题，最大可以识别问题。原因是存储中的一些配置更改。

2021 年 8 月 9 日来自微软的更新： 微软已经承认这是他们没有安全密钥的基础设施错误。他们仍在进行根本原因分析。我已经索要了一份副本，还询问了一些关于频率、期望、状态和防御性编程的其他问题。如果我得到它，我会发布更多的注释。

2021 年 8 月 5 日的原始答案： 根据之前的回答和对最初帖子的友好评论，今天问题自行消失了。这已经影响了我的两个应用程序/机器人 - 其中一个完全清除了自己，另一个在我（再次）重新启动应用程序服务后清除了。需要明确的是，在大约 14 小时前首先发布这个问题之前，我已经重新启动了应用服务几次（甚至重新部署）。但现在一切都恢复正常了。

Answer 2

我今天遇到了同样的错误，并花了相当多的时间查看发生了什么。现在我尝试重新启动我的应用服务，机器人开始工作！

干杯！