ADFS 4.0（2016）OpenID Connect用戶信息終端在提供訪問令牌時返回401

Question

任何想法爲何如此。我配置了一個服務器應用程序和一個Web API和一個ID令牌，訪問令牌&發出了令牌刷新。但是，調用userinfo端點會返回一個帶有以下標頭消息的401：

WWW-Authenticate→承載錯誤=「invalid_token」，error_description =「MSIS9920：接收到無效的UserInfo請求，請求中的訪問令牌無效。

訪問令牌根據http://jwt.io

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IjVVbEw5a1JocDJNLUVzTDlBRDJOQ055aHZtdyJ9.eyJhdWQiOiJ1cm46bWljcm9zb2Z0OnVzZXJpbmZvIiwiaXNzIjoiaHR0cDovL3Rlc3Rsb2dpbi51bm9wcy5vcmcvYWRmcy9zZXJ2aWNlcy90cnVzdCIsImlhdCI6MTQ4NjYyOTUxOSwiZXhwIjoxNDg2NjMzMTE5LCJhcHB0eXBlIjoiQ29uZmlkZW50aWFsIiwiYXBwaWQiOiJrbnVkIiwiYXV0aG1ldGhvZCI6InVybjpvYXNpczpuYW1lczp0YzpTQU1MOjIuMDphYzpjbGFzc2VzOlBhc3N3b3JkUHJvdGVjdGVkVHJhbnNwb3J0IiwiYXV0aF90aW1lIjoiMjAxNy0wMi0wOVQwODozMjo1Ny4xNDZaIiwidmVyIjoiMS4wIiwic2NwIjoib3BlbmlkIiwic3ViIjoiM2krUGlyRncwSVlkdDVzTVNKQlpKbjVOTXZVWXZVdyt2WHI2Ujd1N0dBZz0ifQ.ajKtSk0xQE1crJkIA-lMLBZj2DtYE6xQo-Stmevh4pOGX17GEePbAFP-g6qPUwtGT_whVj74wRpSlyTBscp2JDsp_CW2E6BsTUI810S6jYRVjkYGxL1QcL1KoKJ8wyYKcxsCeOY2IUKNPnJOxV53Rs8E9EvJgjcsjTJHQw5Z_zC43dsTfCZvVfGrwJ3nn6BGxhIE_bEXvrWdgmg49V7-KK2kVDbDwJGr1iLpqU88-bkHdjGCIuc8XKX5pobWWlcyBmR_dpACM6Tu-d8jYJ_8mbof-eZrqn8YS61rgvRAhAAONyDklWcPgiYnhcMQVHZoCME-rVTjI6LDDY2czhL0rg 

Answer 1

我只是做了這個曾經讓我沒有太多的建議，使尚未有效。所以我不能提出任何建議，除非有更多的細節。

您應該嘗試從AD FS端獲取更多證據。使用調試日誌

wevtutil sl "ad fs tracing/debug" /l:5 /e:true 

執行repro然後禁用日誌，如下所示。

wevtutil sl "ad fs tracing/debug" /e:false 

然後導出日誌來查看使用

wevtutil epl "ad fs tracing/debug" c:\temp\userinfoerr.evtx 

打開該事件日誌在事件查看器，並具有看看，看看周圍驗證JWT報什麼其他錯誤。