正在验证WebApi服务中的Azure移动服务令牌

http://www.thejoyofcode.com/Generating_your_own_ZUMO_auth_token_Day_8_.aspx显示了如何生成Azure移动服务令牌，但其中也包含验证它所需的信息。基本上，验证它所需的密钥是来自服务的主密钥（不要将该密钥分发给任何客户端，但如果它在服务中安全编码，那应该没问题）。受众取决于创建令牌的提供者（例如，对于FB，它是字符串"Facebook"）。颁发者设置为urn:microsoft:windows-azure:zumo。

在WebAPI项目中，您需要实现一个自定义消息处理程序来拦截令牌，并验证它是否使用AMS中的相同主密钥进行了签名。GitHub上有一个项目展示了如何做到这一点：

JWT验证器

这基本上是另一个GitHub项目的衍生产品，该项目在这里有原始的ASP.NET示例：

AuthenticationTokenSample

主验证发生在调用ValidateSignature()方法时，该方法获取JWT Claim段的UTF-8表示的字节，并使用Azure Mobile Services中的共享密钥在其上计算HMAC SHA-256 MAC。如果JWT加密段和之前计算的值，则可以确认密钥用于在JWT上生成HMAC，并且JWT索赔段的内容未被篡改。

我发现的一件主要事情是在ValidateSignature()方法中将附加的"JWTSig"字符串从主密钥中移除。看来被签名的令牌不再将该字符串附加到DelegatingHandler0中的主密钥。在删除该片段之前，我在通过验证方面遇到了各种困难。