ADFS 4.0（2016）OpenID Connect用户信息终端在提供访问令牌时返回401

Question

任何想法为何如此。我配置了一个服务器应用程序和一个Web API和一个ID令牌，访问令牌&发出了令牌刷新。但是，调用userinfo端点会返回一个带有以下标头消息的401：

WWW-Authenticate→承载错误=“invalid_token”，error_description =“MSIS9920：接收到无效的UserInfo请求，请求中的访问令牌无效。

访问令牌根据http://jwt.io

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IjVVbEw5a1JocDJNLUVzTDlBRDJOQ055aHZtdyJ9.eyJhdWQiOiJ1cm46bWljcm9zb2Z0OnVzZXJpbmZvIiwiaXNzIjoiaHR0cDovL3Rlc3Rsb2dpbi51bm9wcy5vcmcvYWRmcy9zZXJ2aWNlcy90cnVzdCIsImlhdCI6MTQ4NjYyOTUxOSwiZXhwIjoxNDg2NjMzMTE5LCJhcHB0eXBlIjoiQ29uZmlkZW50aWFsIiwiYXBwaWQiOiJrbnVkIiwiYXV0aG1ldGhvZCI6InVybjpvYXNpczpuYW1lczp0YzpTQU1MOjIuMDphYzpjbGFzc2VzOlBhc3N3b3JkUHJvdGVjdGVkVHJhbnNwb3J0IiwiYXV0aF90aW1lIjoiMjAxNy0wMi0wOVQwODozMjo1Ny4xNDZaIiwidmVyIjoiMS4wIiwic2NwIjoib3BlbmlkIiwic3ViIjoiM2krUGlyRncwSVlkdDVzTVNKQlpKbjVOTXZVWXZVdyt2WHI2Ujd1N0dBZz0ifQ.ajKtSk0xQE1crJkIA-lMLBZj2DtYE6xQo-Stmevh4pOGX17GEePbAFP-g6qPUwtGT_whVj74wRpSlyTBscp2JDsp_CW2E6BsTUI810S6jYRVjkYGxL1QcL1KoKJ8wyYKcxsCeOY2IUKNPnJOxV53Rs8E9EvJgjcsjTJHQw5Z_zC43dsTfCZvVfGrwJ3nn6BGxhIE_bEXvrWdgmg49V7-KK2kVDbDwJGr1iLpqU88-bkHdjGCIuc8XKX5pobWWlcyBmR_dpACM6Tu-d8jYJ_8mbof-eZrqn8YS61rgvRAhAAONyDklWcPgiYnhcMQVHZoCME-rVTjI6LDDY2czhL0rg 

Answer 1

我只是做了这个曾经让我没有太多的建议，使尚未有效。所以我不能提出任何建议，除非有更多的细节。

您应该尝试从AD FS端获取更多证据。使用调试日志

wevtutil sl "ad fs tracing/debug" /l:5 /e:true 

执行repro然后禁用日志，如下所示。

wevtutil sl "ad fs tracing/debug" /e:false 

然后导出日志来查看使用

wevtutil epl "ad fs tracing/debug" c:\temp\userinfoerr.evtx 

打开该事件日志在事件查看器，并具有看看，看看周围验证JWT报什么其他错误。