La protection des données de l'opération a échoué sur Azure à l'aide d'OWIN / Katana

Je suis en train de mettre en œuvre de réinitialisation de mot de passe sur un OWIN/Katana en fonction ASP.NET MVC site web de la course dans Azure.

Il fonctionne très bien lorsqu'il est exécuté localement, mais échoue dans la production.

- Je créer un UserToken Fournisseur de

userManager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(provider.Create("PasswordReset"))

Mais lorsque je tente de générer le jeton comme suit

var resetToken = await UserManager.GeneratePasswordResetTokenAsync(user.Id);

- Je obtenir de l'exception suivante.

Système.De sécurité.La cryptographie.CryptographicException: Les données
la protection de l'opération a été un échec. Cela peut avoir été causé par
n'ayant pas le profil de l'utilisateur chargé de la thread courante de l'utilisateur
contexte, qui peut être le cas lorsque le thread est usurper l'identité.
au Système.De sécurité.La cryptographie.ProtectedData.Protéger(Byte[] userData, Byte[] optionalEntropy, DataProtectionScope portée)
au Système.De sécurité.La cryptographie.DpapiDataProtector.ProviderProtect(Byte[]
userData)
au Système.De sécurité.La cryptographie.DataProtector.Protéger(Byte[] userData)
chez Microsoft.Owin.De sécurité.DataProtection.DpapiDataProtector.Protéger(Byte[]
userData)
chez Microsoft.AspNet.L'identité.Owin.DataProtectorTokenProvider 2.d__0.MoveNext()
--- Fin de la trace de la pile à partir de l'emplacement précédent où l'exception a été levée ---
au Système.Moment de l'exécution.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Tâche
la tâche)
au Système.Moment de l'exécution.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Tâche
la tâche)
chez Microsoft.AspNet.L'identité.UserManager`2.d__e9.MoveNext()

avez-vous trouvé la solution ?
Notez encore. Des idées?
oui j'ai trouvé une solution de contournement, mais je ne suis pas totalement satisfaire. Il semble que c'est en raison de la AppName paramètre qui n'est pas le même partout dans l'application. J'ai donc utilisé une application de paramètres de Configuration(IAppBuilder app) appel de OwinStartupAttribute pour instancier les IDataPRovider et il semble fonctionner. Pour obtenir l'objet dataprovider vous pouvez le faire comme ceci : app.GetDataProtectionProvider(). Dites-moi si ce travail
Merci de voter sur la question aspnetidentity.codeplex.com/workitem/2439 pour la résolution de ce problème.

OriginalL'auteur Mat Guthrie | 2014-05-21

  1. 9

    J'ai le même problème lorsque j'essaie de générer un jeton avec ASP .Net de l'identité et de connexion personnalisée en fonction de l'API Web.

    "La protection des données de l'opération a été un échec. Cela peut avoir été
    causée par ne pas avoir le profil de l'utilisateur chargé pour le thread en cours de
    contexte de l'utilisateur, qui peut être le cas lorsque le thread est usurper l'identité."

    Ce que j'ai fait est tout simplement de créer une Application Paramètre appelé WEBSITE_LOAD_USER_PROFILE dans Microsoft Azure et de lui 1. Cette solution fonctionne pour moi.

    Vous pouvez voir le détail ici

    la plus simple solution ici, et tout comme le lien dit, je devais éviter de BASE et des plans communs pour cela, les paramètres à appliquer.

    OriginalL'auteur Satria Janaka

  2. 5

    Veuillez consulter mon ma réponse à cette question. Une solution beaucoup plus simple peut être réalisée en utilisant IAppBuilder.GetDataProtectionProvider()

    OriginalL'auteur Loren Paulsen

  3. 3

    J'ai trouvé une solution. Je ne suis pas sûr de savoir si toutes les étapes sont nécessaires pour que ça marche, mais maintenant mon appli fonctionne parfaitement:

    1.- Mise à jour de votre site web.config pour soutenir securityTokenHandlers

    <section name="system.identityModel" type="System.IdentityModel.Configuration.SystemIdentityModelSection, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/>
<section name="system.identityModel.services" type="System.IdentityModel.Services.Configuration.SystemIdentityModelServicesSection, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/>

    dans le configSections nœud. Et

      <securityTokenHandlers>
    <remove type="System.IdentityModel.Tokens.SessionSecurityTokenHandler,
                System.IdentityModel, Version=4.0.0.0, Culture=neutral,
                PublicKeyToken=B77A5C561934E089" />

    <add
      type="System.IdentityModel.Services.Tokens.MachineKeySessionSecurityTokenHandler,
          System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral,
          PublicKeyToken=B77A5C561934E089">
      <sessionTokenRequirement lifetime="00:30:00"></sessionTokenRequirement>
    </add>
  </securityTokenHandlers>

</identityConfiguration>

    régulièrement le noeud.
    2.- Dans votre Démarrage.Auth.cs fichier de mise à jour de votre ConfigureAuth(IAppBuilder app) comme ceci:

    public void ConfigureAuth(IAppBuilder app)
        {

            UserManagerFactory = () =>
            {
                var userManager = new UserManager<SIAgroUser>(new UserStore<UserType>(new SIAgroUserDbContext()));

                IDataProtectionProvider provider = app.GetDataProtectionProvider();

                //userManager.UserTokenProvider = new Microsoft.AspNet.Identity.Owin.DataProtectorTokenProvider<UserType>(provider.Create("PasswordReset") );
                if (provider != null)
                {
                    userManager.UserTokenProvider = new DataProtectorTokenProvider<UsertType, string>(provider.Create("PasswordReset"));
                }

                return userManager;
            };

            OAuthOptions = new OAuthAuthorizationServerOptions
            {
                TokenEndpointPath = new PathString("/Token"),
                Provider = new ApplicationOAuthProvider(PublicClientId, UserManagerFactory),
                AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
                AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
                AllowInsecureHttp = true
            };
            //Enable the application to use a cookie to store information for the signed in user
            //and to use a cookie to temporarily store information about a user logging in with a third party login provider
            app.UseCookieAuthentication(new CookieAuthenticationOptions());
            app.UseExternalSignInCookie(DefaultAuthenticationTypes.ExternalCookie);

            //Enable the application to use bearer tokens to authenticate users
            app.UseOAuthBearerTokens(OAuthOptions);

            //Uncomment the following lines to enable logging in with third party login providers
            //app.UseMicrosoftAccountAuthentication(
            //   clientId: "",
            //   clientSecret: "");

            //app.UseTwitterAuthentication(
            //   consumerKey: "",
            //   consumerSecret: "");

            //app.UseFacebookAuthentication(
            //   appId: "",
            //   appSecret: "");

            //app.UseGoogleAuthentication();



        }

    3.- Nettoyer le constructeur de votre Démarrage de la classe comme ceci:

    static Startup()
{
   PublicClientId = "self";
}

    Qui a fonctionné pour moi 🙂 j'espère que ça marchera pour vous aussi

    Je pense que cette partie est importante : IDataProtectionProvider fournisseur = app.GetDataProtectionProvider(); Comme je l'ai dit dans mon commentaire précédent, je pense que c'est un problème avec le AppName. Si vous instanciez votre auto le dataprotection fournisseur vous permettra de définir un autre nom que le nom de l'Application...
    Et je pense que l'utilisation d'Owin contexte pour instancier le gestionnaire des utilisateurs est mieux si vous n'utilisez pas tout IOS : app.CreatePerOwinContext(ExtranetDbContext.Créer); app.CreatePerOwinContext<ApplicationUserManager>(ApplicationUserManager.Créer);

    OriginalL'auteur JLuis Estrada

  4. 2

    Je mettre ça sur la glace pendant un certain temps, mais a été contraint de revenir à elle. J'ai trouvé la solution ici:
    Génération de jeton de réinitialisation de mot de passe ne fonctionne pas dans Azure Site web

    OriginalL'auteur Mat Guthrie

  5. 2

    Cette erreur qui se passe pour moi sur un fournisseur d'hébergement mutualisé, à la ligne:

    var provider = new DpapiDataProtectionProvider("SITENAME");

    La solution était assez simple. Tout d'abord modifier la ligne ci-dessus à ceci:

    var provider = new MachineKeyProtectionProvider();

    Puis créer un nouveau fichier, que j'ai dans mes Utilitaires espace de noms, comme suit:

    using Microsoft.Owin.Security.DataProtection;
using System.Web.Security;

namespace <yournamespace>.Utilities
{
    public class MachineKeyProtectionProvider : IDataProtectionProvider
    {
        public IDataProtector Create(params string[] purposes)
        {
            return new MachineKeyDataProtector(purposes);
        }
    }

    public class MachineKeyDataProtector : IDataProtector
    {
        private readonly string[] _purposes;

        public MachineKeyDataProtector(string[] purposes)
        {
            _purposes = purposes;
        }

        public byte[] Protect(byte[] userData)
        {
            return MachineKey.Protect(userData, _purposes);
        }

        public byte[] Unprotect(byte[] protectedData)
        {
            return MachineKey.Unprotect(protectedData, _purposes);
        }
    }
}

    Et le tour est joué! Le problème est résolu. Rappelez-vous, votre mot de passe de réinitialisation du contrôleur de méthode, vous aurez aussi à utiliser ce fournisseur, sinon vous aurez un Invalid Token erreur.

    OriginalL'auteur Sean

  6. 2

    Si le serveur hôte est une machine virtuelle, il pourrait être exactement ce que le message d'erreur dit. Vérifiez si votre Pool d'Applications IIS a vraiment Load User Profile défini à true, comme l'exception, dit:

    La protection des données de l'opération a échoué sur Azure à l'aide d'OWIN /Katana

    OriginalL'auteur Ogglas

  7. 0

    Obtenir le UserManager de la Owin Pipeline, dans son ensemble dans App_Start/Démarrage.Auth.cs, travaille sur Azure.
    Je ne suis pas sûr comment cela fonctionne précisément.
    Le DpApi devraient travailler dans Azure avec la solution décrite dans le premier lien.

    Si le DpApi a une statique de la clé machine définie dans le Web.config toutes les machines serveur sera en mesure de déchiffrer les données chiffrées créé par une autre machine de votre webfarm est la compréhension derrière cette.

    (code donné dans le modèle standard - à partir de AccountController.cs)

     private UserManager userManager;
    public UserManager UserManager
    {
        get { return userManager ?? HttpContext.GetOwinContext().GetUserManager<UserManager>(); }
        private set { userManager = value; }
    }

    OriginalL'auteur WarrenDodsworth