【问题标题】:Azure API Managment Not Able to Authorize with azure b2c: Signature FailedAzure API 管理无法使用 azure b2c 进行授权:签名失败
【发布时间】:2019-05-04 15:39:17
【问题描述】:

我在 b2c 中配置了后端应用程序 (api) 和 azure apim devportal(客户端应用程序)。我提供了从客户端应用程序访问后端 api 的权限。我有 使用它在 azure api 管理中配置 oauth 身份验证。

我正在使用授权代码流。对于令牌验证,我使用了入站策略:

 <validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized" require-expiration-time="true" require-scheme="Bearer" require-signed-tokens="true" clock-skew="0">
        <openid-config url="https://<domain>/tenantid/v2.0/.well-known/openid-configuration?p=signinsignup_policy" />
        <required-claims>
            <claim name="aud">
                <value><appid for backend app></value>
            </claim>
        </required-claims>
    </validate-jwt>

从 apim 开发者门户尝试时 使用收到的令牌时出现以下错误:。

JWT 验证失败:IDX10501:签名验证失败。无法匹配键

我已将后端 api 应用程序 ID 配置为资源,并将 user_impersonation 配置为默认范围。解码令牌我可以看到与 aud 相同的后端 appid。我也尝试使用 appid uri 作为资源,但看到同样的错误。

感谢任何帮助。

【问题讨论】:

  • Open ID 配置 URL 应该有一个指向密钥集的链接 - jwks_uri。确保您获得的令牌中的“孩子”声明包含该文档中某个键的值。

标签: azure azure-ad-b2c azure-api-management


【解决方案1】:

有几种情况可能会导致此错误。 你检查过下面的线程吗

Azure AD B2C error - IDX10501: Signature validation failed

https://github.com/Azure-Samples/active-directory-dotnet-webapp-openidconnect-aspnetcore/issues/18

如果以上没有帮助:我假设您正在使用自定义策略。创建签名密钥和加密时,您必须遵循https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-get-started-custom 中描述的步骤。

如果您在创建 TokenSigning 时跳过或修改 Key Type/Key Usage & TokenEncryption 密钥有机会得到那个问题。

我在将 B2C 与 API 管理集成时尝试了以下步骤。它按预期工作

HTH

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2018-10-02
    • 1970-01-01
    • 2018-07-20
    • 2017-01-04
    • 1970-01-01
    • 2021-03-29
    • 1970-01-01
    • 2019-07-16
    相关资源
    最近更新 更多