WIF-ID1014: la firma no es válida. Los datos pueden haber sido manipulados con

Question

He estado usando WIF para autenticar nuestro nuevo sitio web, el STS se basa en la implementación de los iniciadores.

Para permitir que esto funcione correctamente en un entorno de carga equilibrada he utilizado lo siguiente en el archivo global.asax para anular el comportamiento del certificado predeterminado.

void onServiceConfigurationCreated(object sender, ServiceConfigurationCreatedEventArgs e) 
     { 
      List<CookieTransform> sessionTransforms = new List<CookieTransform>(new CookieTransform[] 
      { 
       new DeflateCookieTransform(), 
       new RsaEncryptionCookieTransform(e.ServiceConfiguration.ServiceCertificate), 
       new RsaSignatureCookieTransform(e.ServiceConfiguration.ServiceCertificate) 
      }); 

      SessionSecurityTokenHandler sessionHandler = new SessionSecurityTokenHandler(sessionTransforms.AsReadOnly()); 
      e.ServiceConfiguration.SecurityTokenHandlers.AddOrReplace(sessionHandler); 
     } 

Esto es todo de trabajo justas y encontrar personas han sido con éxito utilizando el sistema, sin embargo, de vez en cuando tenemos una ráfaga de:

ID1014: La firma no es válida. Los datos pueden haber sido manipulados.

en los registros de eventos, así que encendí el seguimiento de WIF y vi lo siguiente mencionado en el registro.

ID1074: Se produjo una excepción CryptographicException al intentar encriptar la cookie utilizando la API ProtectedData (vea la excepción interna para más detalles). Si está utilizando IIS 7.5, esto podría deberse a que la configuración loadUserProfile del conjunto de aplicaciones está configurada en falso.

Tengo la sensación de que esto me está llevando por un callejón oscuro porque pensé que debido a que había cambiado la implementación para usar RSA, esto no debería afectarme.

¿Alguna idea para ayudarme?

Answer 1

Cambié la implementación para modificar el tiempo de espera en el método ontokencreated. Esto evita la reedición.

protected override void OnSessionSecurityTokenCreated(Microsoft.IdentityModel.Web.SessionSecurityTokenCreatedEventArgs args) 
     { 
      args.SessionToken = FederatedAuthentication.SessionAuthenticationModule.CreateSessionSecurityToken(
       args.SessionToken.ClaimsPrincipal, 
       args.SessionToken.Context, 
       DateTime.UtcNow, 
       DateTime.UtcNow.AddDays(365), 
       true 
       ); 
      //base.OnSessionSecurityTokenCreated(args); 
     } 

Answer 2

¿Intentó establecer la opción loadUserProfile en verdadero? ¿El problema todavía ocurre?

(Seleccione el grupo de aplicaciones en IIS y luego haga clic en "Configuración avanzada" a la derecha. "Cargar perfil de usuario" se encuentra en la sección "Modelo de proceso").

Answer 3

Las cookies del navegador están encriptadas con el mecanismo "antiguo" - DPAPI. Por lo tanto, cuando el servidor intenta descifrar las cookies, falla: su código usa RSA ahora, no DPAPI.

Como solución temporal, borre la caché del navegador y la aplicación comenzará a funcionar como se espera.

Answer 4

La aparición intermitente de su error, combinada con la excepción DPAPI que aparece en sus trazas, me sugiere que en realidad no está anulando la transformación de cookies, y su servicio todavía está utilizando DPAPI.

Esto podría ser una posibilidad remota, pero en su fragmento de código noté que su método reemplaza "onServiceConfigurationCreated" comienza con una minúscula o. Tal tipo de error, de hecho, le impediría anular correctamente el comportamiento predeterminado de WIF.