c# - 在策略上使用多个身份验证方案会导致签名验证失败

问题描述

我有两个不同的 jwt 身份验证令牌，来自我的 api 接受的两个不同的提供者，设置如下：

    services.AddAuthentication()
    .AddJwtBearer("auth provider1", options =>
    {
        options.Audience = authSettings.Audience1;
        options.Authority = authSettings.Authority1;
        options.ClaimsIssuer = authSettings.Issuer1;
    })
    .AddJwtBearer("auth provider2", options =>
    {
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ClockSkew = TimeSpan.FromMinutes(5),
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(authSettings.SymmetricKey)),
            RequireSignedTokens = true,
            RequireExpirationTime = true,
            ValidateLifetime = true,
            ValidateAudience = true,
            ValidAudience = authSettings.Audience2,
            ValidateIssuer = true,
            ValidIssuer = authSettings.Issuer2
        };
    });

这些身份验证提供者可以访问不同的 API，因此当访问令牌尝试访问不允许访问的 API 时，我将抛出 403。我通过以下策略设置完成此操作

    services.AddAuthorization(options =>
    {
        // Blocks auth provider 2 tokens by returning 403 because it does not have claim only present in tokens from auth provider 1
        options.DefaultPolicy = new AuthorizationPolicyBuilder()
            .RequireAuthenticatedUser()
            .RequireClaim(Constants.CLAIM_ONLY_IN_AUTH_1)
            .AddAuthenticationSchemes("auth provider1", "auth provider2")
            .Build();

        // Accepts both auth provider tokens
        options.AddPolicy("accept both auth1 and auth2 policy", new AuthorizationPolicyBuilder()
            .RequireAuthenticatedUser()
            .AddAuthenticationSchemes("auth provider1", "auth provider2")
            .Build());
    });

当我使用这些策略中的任何一个时，我遇到了以下异常，因为我相信管道会尝试验证两种身份验证方案中传入的身份验证令牌。

IDX10501：签名验证失败。无法匹配“孩子”：

该异常不会冒泡并终止请求，它只会给我的日志记录增加很多噪音，有没有人在一个策略上使用多个身份验证方案时遇到过这个异常？

标签： c#authenticationasp.net-core-mvcasp.net-core-webapibearer-token