我们已经建立了基于Windows身份验证基础信赖方应用程序。 我们遵循维托里奥的书的建议和创建的cookie设置的自定义转换使用RSA加密/签名的令牌。

private void OnServiceConfigurationCreated( object sender, ServiceConfigurationCreatedEventArgs e )
{
    List<CookieTransform> sessionTransforms = new List<CookieTransform>( new CookieTransform[]
    {
        new DeflateCookieTransform(),
        new RsaEncryptionCookieTransform( e.ServiceConfiguration.ServiceCertificate ),
        new RsaSignatureCookieTransform( e.ServiceConfiguration.ServiceCertificate )
    } );

    SessionSecurityTokenHandler sessionHandler =
        new SessionSecurityTokenHandler( sessionTransforms.AsReadOnly() );

    e.ServiceConfiguration.SecurityTokenHandlers.AddOrReplace( sessionHandler );
}

我们在web.config配置。

<microsoft.identityModel>
  <service>
    <serviceCertificate>
      <certificateReference x509FindType="FindByThumbprint" findValue="C7FD338059CCB374798923A915BC91B718814A8E" storeLocation="LocalMachine" storeName="TrustedPeople" />
    </serviceCertificate>
  </service>
</microsoft.identityModel>

我知道在OnServiceConfigurationCreated代码执行，因为如果我把垃圾指纹值到配置文件中的OnServiceConfigurationCreated抛出异常。

不幸的是，我们经常得到展示在我们的记录了以下异常。

System.Security.Cryptography.CryptographicException: ID1014: The signature is not valid. The data may have been tampered with.
at Microsoft.IdentityModel.Web.RsaSignatureCookieTransform.Decode(Byte[] encoded)
at Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler.ApplyTransforms(Byte[] cookie, Boolean outbound)
at Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler.ReadToken(XmlReader reader, SecurityTokenResolver tokenResolver)
at Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler.ReadToken(Byte[] token, SecurityTokenResolver tokenResolver)
at Microsoft.IdentityModel.Web.SessionAuthenticationModule.ReadSessionTokenFromCookie(Byte[] sessionCookie)
at Microsoft.IdentityModel.Web.SessionAuthenticationModule.TryReadSessionTokenFromCookie(SessionSecurityToken& sessionToken)
at Microsoft.IdentityModel.Web.SessionAuthenticationModule.OnAuthenticateRequest(Object sender, EventArgs eventArgs)
at System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
at System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

我们相信，这种异常导致系统中的其他问题，但无法弄清楚它为什么发生。 我们有三个网络服务器和我们已经三检查它们都配置为使用相同的证书指纹和证书安装在三台服务器上的同一个地方。

我们还使用自定义SessionAuthenticationModule处理滑动会话过期。 我想， 也许当代码（下）被补发饼干它可能会用不同的加密/签名的做法，但我敢肯定，我测试过它，这似乎并不如此。 我包括它只有在完全公开的利益。

void CustomSessionAuthenticationModule_SessionSecurityTokenReceived( object sender, SessionSecurityTokenReceivedEventArgs e )
{
    DateTime now = DateTime.UtcNow;
    DateTime validFrom = e.SessionToken.ValidFrom;
    DateTime validTo = e.SessionToken.ValidTo;

    double tokenLifetime = (validTo - validFrom).TotalMinutes;

    SessionAuthenticationModule sam = sender as SessionAuthenticationModule;

    if( now < validTo && now > validFrom.AddMinutes( tokenLifetime / 2 ) )
    {
        e.SessionToken = sam.CreateSessionSecurityToken(
            e.SessionToken.ClaimsPrincipal, e.SessionToken.Context,
            now, now.AddMinutes( tokenLifetime ), e.SessionToken.IsPersistent );
        e.ReissueCookie = true;
    }
}

从我们可以告诉我们所做的一切文档/博客/等纷纷表示，但我们仍然得到此异常。 任何提示/指针/猜测会是在这一点上有所帮助。

您可能要检查的cookie数据的应用程序集的总大小。 如果你有很多说法，饼干相应增长，除非你用会话模式。 例如，Safari浏览器对总的cookie数据大小为4K的限制。 如果突破这个限制你开始失去饼干，这可能意味着你会失去一个cookie与签名的一部分。

作为一个侧面说明，如果你可以移动到WIF 4.5您在使用的选项MachineKeySessionSecurityTokenHandler而不是做基于certficate Cookie加密。