在 Azure APIM 策略中验证 JWT

Question

在 Azure APIM 中，我正在尝试创建一个将验证 JWT 的策略。无论我尝试什么，我总是会收到“401：无效的 JWT”错误。有谁知道我做错了什么？ （也许我没有使用正确的签名密钥？）

我的 base64 编码安全密钥是 Zm9v。

我在 jwt.io 创建样本令牌，所以我的授权 header 是：

Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.Bm8tu4m18oA96xwhBL8AV_4hRpIU6OrK5UaOmGqBEsk

这是我使用的政策：

<policies>
    <inbound>
        <base />
        <validate-jwt
            header-name="Authorization"
            require-expiration-time="false"
            require-scheme="Bearer"
        >
            <issuer-signing-keys>
                <key>Zm9v</key>
            </issuer-signing-keys>
        </validate-jwt>
    </inbound>
    <backend>
        <base />
    </backend>
    <outbound>
        <base />
    </outbound>
    <on-error>
        <base />
    </on-error>
</policies>

HTTP 响应：

cache-control: private
content-length: 48
content-type: application/json
ocp-apim-trace-location: https://xxxxxxx
vary: Origin
{
    "statusCode": 401,
    "message": "Invalid JWT."
}

Answer 1

您提供的令牌无效签名。前往 jwt.io 首先检查您的令牌。

您提供的政策是正确的。更详细的可以参考这个article.

Answer 2

问题是我的密钥太小了。

在 Azure 中测试 API 时，有一个 Trace 选项卡，但缺少 On Error 部分。

您必须转到“消息”选项卡。有一个 ocp-apim-trace-location 将显示完整的跟踪。

原来我使用的密钥尺寸太小了。它只有 24，至少需要 128。