Токен против подделки не может быть расшифрован

Question

Токен против подделки не может быть расшифрован

У меня есть форма:

@using (Html.BeginForm(new { ReturnUrl = ViewBag.ReturnUrl })) {
@Html.AntiForgeryToken()
@Html.ValidationSummary()...

и действие:

[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public ActionResult Login(LoginModel model, string returnUrl, string City)
{
}

изредка (раз в неделю) я получаю сообщение об ошибке:

Токен против подделки не может быть расшифрован. Если это приложение размещено на веб-ферме или в кластере, убедитесь, что на всех компьютерах установлена одна и та же версия веб-страниц ASP.NET и что в конфигурации указаны явные ключи шифрования и проверки. Автогенерация не может использоваться в кластере.

я пытаюсь добавить в webconfig:

<machineKey validationKey="AutoGenerate,IsolateApps"  
    decryptionKey="AutoGenerate,IsolateApps" />

но ошибка все равно иногда появляется

Я заметил, что эта ошибка возникает, например, когда человек пришел с одного компьютера, а затем пытается другой компьютер

Или иногда автоматическое значение, установленное с неверным типом данных, например, bool для целого числа в поле формы любым кодом jQuery, также проверьте это.

81

asp.net-mvc asp.net-mvc-4

Источник

user3331122 01 май '14 в 04:53

14 ответов

Другие вопросы по тегам asp.net-mvc asp.net-mvc-4

user1053970 20 фев '15 в 02:25 2015-02-20 02:25 · Answer 1 · 2015-02-20 02:25

Я только что получил эту ошибку, и, в моем случае, она была вызвана тем, что токен против подделки был применен дважды в одной и той же форме. Второй случай исходил от частичного взгляда, поэтому не сразу был очевиден.

150

Источник

user1053970 20 фев '15 в 02:25

user3461958 01 май '14 в 05:11 2014-05-01 05:11 · Answer 2 · 2014-05-01 05:11

validationKey="AutoGenerate"

Это заставляет ASP.NET генерировать новый ключ шифрования для использования при шифровании таких вещей, как аутентификационные билеты и токены защиты от подделки, при каждом запуске приложения. Если вы получили запрос, в котором использовался другой ключ (например, до перезапуска) для шифрования элементов запроса (например, файлов cookie аутентификации), это исключение может возникнуть.

Если вы отойдете от "Автогенерации" и конкретно укажете его (ключ шифрования), запросы, которые зависят от того ключа, будут правильно расшифрованы и проверка будет работать от перезапуска приложения до перезапуска. Например:

<machineKey  
validationKey="21F090935F6E49C2C797F69BBAAD8402ABD2EE0B667A8B44EA7DD4374267A75D7
               AD972A119482D15A4127461DB1DC347C1A63AE5F1CCFAACFF1B72A7F0A281B"           
decryptionKey="ABAA84D7EC4BB56D75D217CECFFB9628809BDB8BF91CFCD64568A145BE59719F"
validation="SHA1"
decryption="AES"
/>

Вы можете прочитать на свой вкус на странице MSDN: Как: настроить MachineKey в ASP.NET

user1500106 14 сен '16 в 23:44 2016-09-14 23:44 · Answer 3 · 2016-09-14 23:44

Просто генерировать <machineKey .../> пометить ссылку для вашей версии фреймворка и вставить в <system.web><system.web/> в Web.config, если он не существует.

Надеюсь это поможет.

19

Источник

user1500106 14 сен '16 в 23:44

user850316 23 июн '17 в 16:18 2017-06-23 16:18 · Answer 4 · 2017-06-23 16:18

Если вы пришли сюда из Google для своего компьютера разработчика с этой ошибкой, попробуйте очистить куки в браузере. У меня работали чистые куки браузера.

18

Источник

user850316 23 июн '17 в 16:18

user9471903 23 мар '20 в 22:08 2020-03-23 22:08 · Answer 5 · 2020-03-23 22:08

В asp.net Core необходимо установить систему защиты данных. Я тестирую в Asp.Net Core 2.1 или выше.

есть несколько способов сделать это, и вы можете найти дополнительную информацию в разделе Настройка защиты данных и замена ключа машины ASP.NET в ASP.NET Core и поставщиках хранилища ключей.

первый способ: локальный файл (простая реализация)

Содержание startup.cs:

public class Startup
{
   public Startup(IConfiguration configuration, IWebHostEnvironment webHostEnvironment)
   {
       Configuration = configuration;
       WebHostEnvironment = webHostEnvironment;
   }

   public IConfiguration Configuration { get; }
   public IWebHostEnvironment WebHostEnvironment { get; }

   // This method gets called by the runtime.
   // Use this method to add services to the container.
   public void ConfigureServices(IServiceCollection services)
   {
       // .... Add your services like :
       // services.AddControllersWithViews();
       // services.AddRazorPages();

       // ----- finally Add this DataProtection -----
       var keysFolder = Path.Combine(WebHostEnvironment.ContentRootPath, "temp-keys");
       services.AddDataProtection()
           .SetApplicationName("Your_Project_Name")
           .PersistKeysToFileSystem(new DirectoryInfo(keysFolder))
           .SetDefaultKeyLifetime(TimeSpan.FromDays(14));
   }
}

второй способ: сохранить в БД

В Microsoft.AspNetCore.DataProtection.EntityFrameworkCore Пакет NuGet необходимо добавить в файл проекта

Добавить MyKeysConnection ConnectionString к вашим проектам ConnectionStrings в appsettings.json > ConnectionStrings > MyKeysConnection.

Добавить MyKeysContext класс к вашему проекту.

MyKeysContext.cs содержимое:

public class MyKeysContext : DbContext, IDataProtectionKeyContext
{
   // A recommended constructor overload when using EF Core 
   // with dependency injection.
   public MyKeysContext(DbContextOptions<MyKeysContext> options) 
       : base(options) { }

   // This maps to the table that stores keys.
   public DbSet<DataProtectionKey> DataProtectionKeys { get; set; }
}

Содержание startup.cs:

public class Startup
{
   public Startup(IConfiguration configuration)
   {
       Configuration = configuration;
   }

   public IConfiguration Configuration { get; }

   // This method gets called by the runtime.
   // Use this method to add services to the container.
   public void ConfigureServices(IServiceCollection services)
   {
       // ----- Add this DataProtection -----
       // Add a DbContext to store your Database Keys
       services.AddDbContext<MyKeysContext>(options =>
           options.UseSqlServer(Configuration.GetConnectionString("MyKeysConnection")));

       // using Microsoft.AspNetCore.DataProtection;
       services.AddDataProtection()
           .PersistKeysToDbContext<MyKeysContext>();

       // .... Add your services like :
       // services.AddControllersWithViews();
       // services.AddRazorPages();
   }
}

user687549 20 дек '18 в 13:56 2018-12-20 13:56 · Answer 6 · 2018-12-20 13:56

Если вы используете Kubernetes и имеете более одного модуля для своего приложения, это, скорее всего, приведет к сбою проверки запроса, поскольку модуль, который генерирует RequestValidationToken, не обязательно является модулем, который будет проверять токен при отправке обратно в ваше приложение. Исправление должно состоять в том, чтобы сконфигурировать ваш nginx-контроллер или любой другой используемый вами входной ресурс и указать ему балансировку нагрузки, чтобы каждый клиент использовал один модуль для всех коммуникаций.

Обновление: мне удалось это исправить, добавив следующие комментарии к моему входу:

https://kubernetes.github.io/ingress-nginx/examples/affinity/cookie/

Name    Description Values
nginx.ingress.kubernetes.io/affinity    Sets the affinity type  string (in NGINX only cookie is possible
nginx.ingress.kubernetes.io/session-cookie-name Name of the cookie that will be used    string (default to INGRESSCOOKIE)
nginx.ingress.kubernetes.io/session-cookie-hash Type of hash that will be used in cookie value  sha1/md5/index

user3287840 14 дек '15 в 18:57 2015-12-14 18:57 · Answer 7 · 2015-12-14 18:57

Я столкнулся с этой проблемой в области кода, где у меня было представление, вызывающее частичное представление, однако вместо возвращения частичного представления я возвращал представление.

Я изменился:

возврат View (индекс);

в

вернуть PartialView(index);

под моим контролем, и это решило мою проблему.

user626533 10 окт '18 в 11:13 2018-10-10 11:13 · Answer 8 · 2018-10-10 11:13

Я получил эту ошибку на.NET Core 2.1. Я исправил это, добавив сервис Data Protection в Startup:

public void ConfigureServices(IServiceCollection services)
{
    services.AddDataProtection();
    ....
}

3

Источник

user626533 10 окт '18 в 11:13

user555078 13 июл '20 в 14:29 2020-07-13 14:29 · Answer 9 · 2020-07-13 14:29

Вы звоните более чем одному @Html.AntiForgeryToken() на ваш взгляд

2

Источник

user555078 13 июл '20 в 14:29

user415559 15 ноя '17 в 18:41 2017-11-15 18:41 · Answer 10 · 2017-11-15 18:41

Я получаю эту ошибку, когда страница старая ("устаревшая"). Обновление токена через перезагрузку страницы решает мою проблему. Кажется, есть некоторый период ожидания.

1

Источник

user415559 15 ноя '17 в 18:41

user5651541 14 май '21 в 00:10 2021-05-14 00:10 · Answer 11 · 2021-05-14 00:10

Я нашел очень интересный способ решения этой проблемы, по крайней мере, в моем случае. Мое представление динамически загружало частичные представления с формами в div с использованием ajax, все в другой форме. основная форма не представляет проблем, и одна из частей работает, а другая - нет. ЕДИНСТВЕННАЯ разница между частичными представлениями заключалась в том, что в конце рабочего был пустой тег скрипта.

          <script type="text/javascript">
    </script>

Я удалил его и, конечно же, получил ошибку. Я добавил пустой тег скрипта к другому частичному представлению, и собака его пропустила, все работает! Я знаю, что он не самый чистый ... но что касается скорости и накладных расходов ...

user107783 14 мар '22 в 21:14 2022-03-14 21:14 · Answer 12 · 2022-03-14 21:14

Для тех, кто получает эту ошибку в Google AppEngine или Google Cloud Run, вам необходимо настроить защиту данных вашего веб-сайта ASP.NET Core.

Документация от команды Google проста в использовании и работает.

Общий обзор документов Microsoft можно найти здесь:

https://cloud.google.com/appengine/docs/flexible/dotnet/application-security#aspnet_core_data_protection_providerhttps://cloud.google.com/appengine/docs/flexible/dotnet/application-security#aspnet_core_data_protection_provider

Обратите внимание, что вы также можете обнаружить, что вам приходится входить в систему снова и снова, и происходят другие странные вещи. Это все потому, что Google Cloud не выполняет фиксированные сеансы, как это делает Azure, и вы фактически обращаетесь к разным экземплярам с каждым запросом.

Другие зарегистрированные ошибки включают:

      Identity.Application was not authenticated. Failure message: Unprotect ticket failed

user195350 30 ноя '21 в 01:21 2021-11-30 01:21 · Answer 13 · 2021-11-30 01:21

Я знаю, что немного опоздал на вечеринку, но я хотел добавить еще одно возможное решение этой проблемы. Я столкнулся с той же проблемой в приложении MVC, которое у меня было. Код не менялся большую часть года, и вдруг мы начали получать подобные сообщения об ошибках от приложения.

У нас не было нескольких экземпляров маркера защиты от подделки, примененного к представлению дважды.

У нас на глобальном уровне ключ машины был настроен на автоматическую генерацию из-за требований STIG.

Это раздражало, пока я не получил часть ответа здесь: /questions/11238226/kak-ustranit-isklyuchenie-antiforgerytoken-kotoroe-voznikaet-posle-iisreset-v-moem-prilozhenii-aspnet-mvc/11238261#11238261:

Если для вашего MachineKey установлено значение AutoGenerate, то ваши токены проверки и т. д. не переживут перезапуск приложения — ASP.NET сгенерирует новый ключ при запуске, а затем не сможет правильно расшифровать токены.

Проблема заключалась в превышении лимита частной памяти пула приложений. Это вызвало перезапуск и, следовательно, сделало недействительными ключи для токенов, включенных в форму. Увеличение лимита частной памяти для пула приложений, по-видимому, решило проблему.

user6870559 04 июн '20 в 13:33 2020-06-04 13:33 · Answer 14 · 2020-06-04 13:33

Мое исправление заключалось в том, чтобы получить такие значения файлов cookie и токенов:

AntiForgery.GetTokens(null, out var cookieToken, out var formToken);

0

Источник

user6870559 04 июн '20 в 13:33