asp.net-mvc - SessionSecurityTokenHandler 尝试使用 DPAPI 解密 RSA 加密的 cookie 中的 SessionSecurityToken；为什么？-6ren

asp.net-mvc - SessionSecurityTokenHandler 尝试使用 DPAPI 解密 RSA 加密的 cookie 中的 SessionSecurityToken；为什么？

转载作者：行者123 更新时间：2023-12-03 01:06:47

28

4

我在 MSDN 论坛、Dominic Baier 的博客和其他来源中读到，DPAPI 无法在 Azure 中开箱即用，并且在任何类型的 Web 场场景中处理联合身份验证的一种方法是替换DPAPI 会使用场内可用的私钥进行转换，例如使用 X509 证书的 RSA 加密。我在我的 Azure MVC 应用程序中采用了这种方法，并配置了 SessionSecurityTokenHandler，如下所示:

FederatedAuthentication.ServiceConfigurationCreated += (sender, args) =>
    {
        var sessionTransforms = new List<CookieTransform>(new CookieTransform[]
            {
                new DeflateCookieTransform(),
                new RsaEncryptionCookieTransform(args.ServiceConfiguration.ServiceCertificate),
                new RsaSignatureCookieTransform(args.ServiceConfiguration.ServiceCertificate)
            });
        var sessionHandler = new SessionSecurityTokenHandler(sessionTransforms.AsReadOnly());
        args.ServiceConfiguration.SecurityTokenHandlers.AddOrReplace(sessionHandler);                    
    };

使用此配置，我们能够从身份提供商接收 token 并发出使用这些转换加密的安全 cookie。在 Azure 模拟器中运行，一切都按预期进行。然而，在Azure环境中，我们间歇性地在浏览器中看到以下错误:

Key not valid for use in specified state.

Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code. 

Exception Details: System.Security.Cryptography.CryptographicException: Key not valid for use in specified state.


Source Error: 

An unhandled exception was generated during the execution of the current web request. Information regarding the origin and location of the exception can be identified using the exception stack trace below.

Stack Trace: 


[CryptographicException: Key not valid for use in specified state.
]
   System.Security.Cryptography.ProtectedData.Unprotect(Byte[] encryptedData, Byte[] optionalEntropy, DataProtectionScope scope) +577
   Microsoft.IdentityModel.Web.ProtectedDataCookieTransform.Decode(Byte[] encoded) +80

[InvalidOperationException: ID1073: A CryptographicException occurred when attempting to decrypt the cookie using the ProtectedData API (see inner exception for details). If you are using IIS 7.5, this could be due to the loadUserProfile setting on the Application Pool being set to false. ]
   Microsoft.IdentityModel.Web.ProtectedDataCookieTransform.Decode(Byte[] encoded) +433
   Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler.ApplyTransforms(Byte[] cookie, Boolean outbound) +189
   Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler.ReadToken(XmlReader reader, SecurityTokenResolver tokenResolver) +862
   Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler.ReadToken(Byte[] token, SecurityTokenResolver tokenResolver) +109
   Microsoft.IdentityModel.Web.SessionAuthenticationModule.ReadSessionTokenFromCookie(Byte[] sessionCookie) +356
   Microsoft.IdentityModel.Web.SessionAuthenticationModule.TryReadSessionTokenFromCookie(SessionSecurityToken& sessionToken) +123
   Microsoft.IdentityModel.Web.SessionAuthenticationModule.OnAuthenticateRequest(Object sender, EventArgs eventArgs) +61
   System.Web.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +80
   System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) +270

这似乎表明 SessionSecurityTokenHandler 正在尝试使用 DPAPI 解密 cookie，但为什么呢？我上面不是配置为使用RSA吗？

最佳答案

请注意，您现在可以使用 MachineKeySessionSecurityTokenHandler跨网络场签署和加密 session token 。

要使用此功能，您需要删除默认的 SessionSecurityTokenHandler 并在 Web.config 中添加 MachineKeySessionSecurityTokenHandler:

<system.identityModel>
  <identityConfiguration>
    <securityTokenHandlers>
      <remove type="System.IdentityModel.Tokens.SessionSecurityTokenHandler, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
      <add type="System.IdentityModel.Services.Tokens.MachineKeySessionSecurityTokenHandler, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
    </securityTokenHandlers>
  </identityConfiguration>
</system.identityModel>

MachineKeySessionSecurityTokenHandler 使用 Web.config 中配置的机器 key ，因此您也需要添加它:

<system.web>
  <machineKey validationKey="..." decryptionKey="..." validation="SHA1" decryption="AES" />
</system.web>

请参阅 BrainThud 上的此问题

关于asp.net-mvc - SessionSecurityTokenHandler 尝试使用 DPAPI 解密 RSA 加密的 cookie 中的 SessionSecurityToken；为什么？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/12904109/

28

4

0

文章推荐： Excel VBA - Range.Clear 不清除单元格

文章推荐： javascript - 如何在选中复选框时将字段设置为必填字段

rsa - RSA 签名的字节大小是多少？
我目前正在使用 Crypto++ 为数据块生成签名。我希望签名是 20 个字节(SHA 1 Hash)，因为我的理解是签名只是一个加密的哈希。但是当检查 maxsignaturelength 和 si
rsa - RSA 实现之间的差异
我不是加密专家，所以我对这些事情的了解接近于零。我必须与使用 RSA 加密的系统进行互操作。使用他们的 key 时，我遇到了为相同的输入/ key 获取不同密码的问题。图书馆是https://code
rsa - postman RSA 加密
我想利用 postman 来测试需要使用 RSA 加密对输入字段之一进行加密的 REST API。我看到 postman 通过 require('crypto-js') 提供了功能使用 AES 加密
rsa - 验证服务器如何识别在 RSA 中使用哪个公钥？
我正在尝试在我的 (Java) 应用程序中实现一个(简化的)类似 RSA 的验证过程。客户端发送一个请求(数据+私钥签名)，服务器要么拒绝他的请求，要么处理它——取决于签名的有效性。但是我不明白验证
rsa - 验证服务器如何识别在 RSA 中使用哪个公钥？
我正在尝试在我的 (Java) 应用程序中实现一个(简化的)类似 RSA 的验证过程。客户端发送一个请求(数据+私钥签名)，服务器要么拒绝他的请求，要么处理它——取决于签名的有效性。但是我不明白验证
OpenSSL RSA 引擎 - RSA 验证失败
下面是我想要做的最小、完整且可验证的示例。基本上我想实现一个集成一些 CUDA 代码的 OpenSSL RSA 引擎。 CUDA 部分应该执行模幂运算，但在本例中并不重要，因此我只是按顺序使用了 B
rsa - C++ 中有没有非常简单的 RSA 实现
是否有任何非常简单的跨平台 C++ 库可以进行不对称加密？不需要高效，只要工作。我想它可能只是 .h 文件中的 3-4 个函数，它们可以执行任意精度的数学运算，仅此而已。我相信在这里使用 OpenS
rsa - 有什么方法可以将 RSA 私钥转换为 x509 格式？
我使用以下命令创建了私钥和公钥， openssl genrsa -out privatekey.pem 1024 openssl req -new -x509 -key privatekey.pem
.net - RSA:如何根据密码生成 RSA 公钥和私钥 (.net)
我在 .net 环境(所有版本)中工作并使用 vb.net。我想根据密码生成 RSA 公钥和私钥。我对 RSA 算法的理解仅限于使用 .net 提供的类，即 System.Security.Cryp
cryptography - RSA 和 rsa -des3 有什么区别？
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。想改善这个问题吗？更新问题，使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
openssl - 将 RSA 公钥转换为 RSA DER
我有 ssh-keygen 生成的 id_rsa.pub key 。如何以编程方式将 id_rsa.pub 文件转换为 RSA DER 格式的 key ？最佳答案如果使用 ssh-keygen
rsa - 了解 JWT 的 RSA 签名
我在 JWT(JSON Web Token)方案的帮助下实现了一个登录系统。基本上，在用户登录/登录后，服务器对 JWT 进行签名并将其传递给客户端。然后客户端在每个请求中返回 token ，服务器
rsa - 无法在本地 RSA 中启动我的 Websphere 服务器
我使用的是 WAS 6.1，我的服务器过去可以正常启动，但突然间无法正常工作.. 当我尝试在我的本地 RSA 中启动我的服务器时。我收到以下错误我已经重新启动了系统，RSA，杀死了所有 Java 进
Java RSA 到 PHP phpseclib RSA
我正在开发一个支付网关，他们有一个正在运行的 Java 演示，但我想用 php 来实现它。支付网关使用 3DES 和随机生成的 key 来加密有效负载。该 key 使用支付网关的公钥通过 RSA 进
c# - 使用 RSA 公钥解密使用 RSA 私钥加密的字符串
这是此处未回答问题的副本:Using an RSA Public Key to decrypt a string that was encrypted using RSA Private Key 您可
c++ - 加密 RSA，编码为字符串。在另一端编码回字节并解密 RSA
我一直无法将 RSA 加密字节编码为字符串，然后在另一端(远程主机)将它们恢复为字节，另一端抛出“错误数据”异常。我试过谷歌，没有运气。到目前为止我的代码: 客户: array^Test=Enco
php - RSA 安卓加密/RSA PHP 解密
我需要一些帮助来解决我的问题。问题:我想用 Android 平台的公共(public) RSA key 加密一个数字 (A)，然后用私钥在 PHP 服务器上解密它。在每个平台上，我都可以加密和解密数
openssl - 将 openssl::rsa::Rsa 作为参数传递时类型参数的数量错误
当我尝试将参数传递给函数时出现以下错误。 error[E0243]: wrong number of type arguments: expected 1, found 0 --> src/mai
c - 将 RSA 公钥从字符串传递到 RSA * 结构时出错
我尝试将公共(public) RSA key 加载到我的程序中。我在 C 中使用 openssl 库。 key 在 header crypt.h 文件中定义: #define PUBLIC_KEY
java - BouncycaSTLe - 原生 RSA 与 RSA
Bouncy CaSTLe 加密库中有两种不同的密码可以传递给 PKCS1Encoding:NativeRSAEngine 和 RSAEngine。这两个变体之间有区别吗？编辑: 正如 Maarte

首页

博学

6Ren·AI

商城

asp.net-mvc - SessionSecurityTokenHandler 尝试使用 DPAPI 解密 RSA 加密的 cookie 中的 SessionSecurityToken；为什么？