WIF:使用非存储证书时出现"ID1014: The signature is not valid. The data may have been tampered with"错误



在开发基于声明的身份验证应用程序时,为了使该应用程序在部署到负载平衡服务器时能够正常工作,我按照http://msdn.microsoft.com/en-us/library/ff803371.aspx使用RsaTokenTransform处理程序替换默认的SecurityTokenHandler,使用自己提供的证书加密会话cookie:

X509Certificate2 serviceCertificate = new X509Certificate2(certificate, certificatePassword);
List<CookieTransform> sessionTransformers =
    new List<CookieTransform>
    (
            new CookieTransform[]
        {
            new DeflateCookieTransform(),
            new RsaEncryptionCookieTransform(serviceCertificate),
            new RsaSignatureCookieTransform(serviceCertificate)
        }
    );
SessionSecurityTokenHandler sessionHandler = new SessionSecurityTokenHandler(sessionTransformers.AsReadOnly());
FederatedAuthentication.ServiceConfiguration.SecurityTokenHandlers.AddOrReplace(sessionHandler);

为了使应用程序更加灵活和可移植,在运行时从数据库中提取证书并将其存储在X509Certificate2对象中。

这是一个服务器托管的应用程序,但一旦我切换到服务器群,每隔一段时间我得到错误:

ID1014:签名无效。数据可能被

篡改过

还有一些javascript, css和字体文件因为同样的问题而无法加载。

相关问题但未解决的问题:

WIF- ID1014:签名无效。数据可能被

篡改过

WIF: ID1014:签名无效。数据可能被

篡改过

在互联网上搜索后,我没有找到明确的解释或解决方案;为了节省可能遇到和我一样问题的人的时间,下面是解释:

问题的原因是默认情况下,X509Certificate2对象只提供临时Privatekey Provider,它不会在服务器场的不同服务器之间持久存在。一旦请求从原始服务器转到另一个服务器,Privatekey Provider在该服务器上变为空(因为它不持久),因此抛出异常,因为签名验证需要证书的私钥。

要解决这个问题,只需要在创建X509Certificate2对象时使Privatekey Provider持久:

X509Certificate2 serviceCertificate = new X509Certificate2(certificate, certificatePassword, X509KeyStorageFlags.MachineKeySet|X509KeyStorageFlags.PersistKeySet);

相关内容

  • 没有找到相关文章

最新更新