c# - ASP 网站似乎没有在 Web.Config 中为 FormsAuthentication.Decrypt 使用 machineKey

Question

我想将身份验证 cookie 从我的 ASP.Net MVC 5（.Net 4.5.1，在 iisexpress 上本地托管，从 Visual Studio 运行）传递到我的 WCF 服务（.Net 4.5.1，在 WcfSvcHost 上本地托管，从相同运行Visual Studio 解决方案）并在那里解密。我已将两者配置为使用相同的机器密钥（Web.config 用于 ASP，App.config 用于 WCF）：

<machineKey validationKey="930681CA8CDC1BC09118D6B37E4A1B7712CEDBBD9FA1E35407EA1CD440C7E6F2DB9E93DADAC4098F90ACC7417DBE57C196722FC67F313A6AAE0F946E2FF731B6" decryptionKey="714C9581DA522C636B2D97D80276D5ACC02C274A11ABF117C76181B0480D4AEA" validation="SHA1" decryption="AES" />

两者都引用相同的 System.Web.dll：

C:\Program Files (x86)\Reference Assemblies\Microsoft\Framework.NETFramework\v4.5.1\System.Web.dll (v4.0.30319)

但是当我尝试将 cookieString 传递给我的服务并调用

FormsAuthenticationTicket tick = FormsAuthentication.Decrypt(cookieString);

我收到以下错误：

无法验证数据

我尝试了另一种方式（在 WCF 服务上生成假票并在 ASP 网站上解密），这也不起作用。我可以在 ASP 网站上生成一张票并在那里解密它就好了。我还可以在服务上生成票证并在那里解密，没有任何问题。

var t1 = new FormsAuthenticationTicket("foo", false, 1337);
var cookie = FormsAuthentication.Encrypt(t1);
var t2 = FormsAuthentication.Decrypt(cookie);

我还制作了一个小型控制台应用程序，在那里创建票证并在 WCF 服务上对其进行解密，没有任何问题。

因此，似乎 ASP 网站不使用指定的密钥来加密或解密数据。

有谁知道我能做些什么来解决这个问题？

编辑：我按照本指南获取 cookie 并将其传递给我的服务。 http://thoughtorientarchitecture.blogspot.de/2009/10/flowing-aspnet-forms-authentication.html

然而，正如我所说，我尝试复制加密 cookie 的值并在一个简单的控制台应用程序中使用相同的机器密钥对其进行解密，但它不起作用。

Answer 1

您还在http://forums.asp.net/p/1956219/5581762.aspx上问过这个问题。在那里查看我的答案：

在 WCF 服务中，设置 <machineKey ... compatibilityMode="Framework45" />。这将导致它使用与 ASP.NET 相同的算法。

（如果您无意中将真实密钥复制并粘贴到上述问题中，请记住更改您的机器密钥。）

Answer 2

Levi answered my question over here: http://forums.asp.net/t/1956219.aspx.

Adding will infer compatibilityMode="Framework45" to the machineKey section.

So to fix this bug, either add compatibilityMode="Framework45" to the machineKey section or add to the system.web section of your web.config of your ASP website.

Answer 3

我认为你应该做类似的事情

var authCookie = FormsAuthentication.GetAuthCookie(userName, rememberUser.Checked);
// Get the FormsAuthenticationTicket out of the encrypted cookie
var ticket = FormsAuthentication.Decrypt(authCookie.Value);
// Create a new FormsAuthenticationTicket that includes our custom User Data
var newTicket = new FormsAuthenticationTicket(ticket.Version, ticket.Name, ticket.IssueDate, ticket.Expiration, ticket.IsPersistent, "userData");
// Update the authCookie's Value to use the encrypted version of newTicket
authCookie.Value = FormsAuthentication.Encrypt(newTicket);