5

我在同一台服务器上运行了两个 .NET Web 应用程序 - sentinel(托管在https://sentinel.mydomain.com/)和fortknox(在http://www.mydomain.com/fortknox

Sentinel 是一个身份验证“门户”。FortKnox 是一个“概念证明”应用程序,它使用表单身份验证,但将 loginUrl 设置为https://sentinel.mydomain.com/login(以及一个特殊的 Application_EndRequest 处理程序来限定 ReturnUrl)。Sentinel 是使用 MVC 4 和 Razor 用 .NET 4.0 编写的;FortKnox 是使用 .NET 2.0 的 ASP.NET MVC 2。

我正在使用 ASP.NET FormsAuthentication 并将 cookie 域设置为,.mydomain.com这样设置的 cookiesentinel.mydomain.com将与请求一起发送到www.mydomain.com,反之亦然。cookie 部分运行良好- 两个应用程序都获得了相同的 .ASPXAUTH 加密表单票。

问题是,在我们的生产服务器上,fortknox无法解密sentinel创建的 cookie - 即使它们具有相同的机器密钥。即使两个应用程序都在同一个物理盒子上运行,它也不起作用。

用户点击fortknox,他们被重定向到哨兵,他们登录,cookie被设置,他们被重定向回fortknox,然后我得到“无法验证数据”:

Exception: Unable to validate data.
  at System.Web.Configuration.MachineKeySection.EncryptOrDecryptData(Boolean fEncrypt, Byte[] buf, Byte[] modifier, Int32 start, Int32 length, IVType ivType, Boolean useValidationSymAlgo, Boolean signData)
  at System.Web.Configuration.MachineKeySection.EncryptOrDecryptData(Boolean fEncrypt, Byte[] buf, Byte[] modifier, Int32 start, Int32 length, IVType ivType, Boolean useValidationSymAlgo)
  at System.Web.Security.FormsAuthentication.Decrypt(String encryptedTicket)
  at FortKnox.Web.MvcApplication.Application_BeginRequest()

机器键是相同的 - 我已经在每个页面的标记中包含了这段(讨厌的!)代码:

try {
    var cookie = Request.Cookies[".ASPXAUTH"].Value;
    Response.Write("Cookie: " + cookie + Environment.NewLine);
    var ticket = FormsAuthentication.Decrypt(cookie);
    Response.Write("Ticket name: " + ticket.Name + Environment.NewLine);
} catch (Exception x) {
    Response.Write("Exception: " + x.Message + Environment.NewLine);
    Response.Write(x.StackTrace);
}
Response.Write("<hr /></pre>");
var machineConfigMachineKey = (MachineKeySection)WebConfigurationManager.OpenMachineConfiguration().SectionGroups["system.web"].Sections["machineKey"];
var webConfigMachineKey = (MachineKeySection)WebConfigurationManager.OpenWebConfiguration("").SectionGroups["system.web"].Sections["machineKey"];
Response.Write("<pre>");
Response.Write("<b>machine.config decrypt:  </b>" + machineConfigMachineKey.DecryptionKey + "<br />");
Response.Write("<b>web.config decrypt:      </b>" + webConfigMachineKey.DecryptionKey + "<br />");
Response.Write("<br />");
Response.Write("<b>machine.config validate: </b>" + machineConfigMachineKey.ValidationKey + "<br />");
Response.Write("<b>web.config validate:     </b>" + webConfigMachineKey.ValidationKey + "<br />");
Response.Write("</pre>");
Response.Write("<hr />");

并验证运行时使用的机器密钥完全相同。

尤其令人沮丧的是,这一直在我们的开发和登台服务器上工作,只是在生产中失败了。服务器之间的唯一区别是生产盒经常安装 Windows 更新,而我们的开发/暂存盒可能缺少一些更新;它们在其他方面是相同的(从相同的图像克隆并使用相同的设置脚本创建)

所以...同一台服务器;相同的机器密钥。ASP.NET 4 设置了 FormsAuthentication cookie。ASP.NET 2 应用程序无法解密它。错误只发生在某些服务器上;在其他人身上,它正在工作。在这一点上,我完全被卡住了......有什么想法吗?

编辑:实时服务器已经升级到最新的补丁级别。我试过申请

<add key="aspnet:UseLegacyEncryption" value="true" />

对于登录应用程序和 fortknox 应用程序,两者都是真假。还是没有运气...

4

2 回答 2

2

有没有可能与旧的 2010 年填充 oracle 安全补丁有关 - http://weblogs.asp.net/scottgu/archive/2010/09/28/asp-net-security-update-now-available.aspx?尝试设置

<add key="aspnet:UseLegacyEncryption" value="true" />

强制打补丁的服务器像打补丁之前那样工作?

(或者,你知道......修补你的服务器。你的选择。)

于 2012-07-06T02:44:49.187 回答
0

您是否尝试了以下所有键?http://support.microsoft.com/kb/2425938

<add key="aspnet:UseLegacyEncryption" value="true" />
<add key="aspnet:UseLegacyMachineKeyEncryption" value="true" />
<add key="aspnet:ScriptResourceAllowNonJsFiles" value="true" />
于 2013-06-25T18:44:12.437 回答