0

我正在使用 Azure ACS 和我的 MVC4 客户端使用被动重定向。我已将 Azure 配置为发出 JWT,并且我正在使用新的 WIF JWT 库来验证令牌。这一切都很好。

我遇到的问题是 Azure 使用 X.509 证书而不是对称密钥签署 JWT,这要求我的 MVC 应用程序拥有证书,这目前很烦人。

我知道 JWT 支持处于测试阶段,并且使用对称密钥存在安全问题(因为任何拥有密钥的人都可以伪造令牌)。

是否有一些我缺少的设置?我尝试将证书设置为 Azure 中的“辅助”签名密钥,但这没有任何效果。

4

1 回答 1

1

ACS 按以下优先顺序选择密钥来签署 JWT:

  1. 依赖方对称密钥
  2. 依赖方证书
  3. 服务范围证书

您在此列表中的任何地方都看不到对称服务密钥,因为在两个以上实体之间使用对称密钥存在安全问题。

这意味着您的密钥需要与依赖方相关联,而不是命名空间,如以下屏幕截图所示。

JwtKey

于 2013-08-01T21:45:39.243 回答