Compartir a través de


Autenticación y autorización de los concentradores de SignalR (SignalR 1.x)

por Patrick Fletcher, Tom FitzMacken

Advertencia

Esta documentación no es para la última versión de SignalR. Eche un vistazo a ASP.NET Core SignalR.

Este tema describe cómo restringir qué usuarios o roles pueden acceder a los métodos de hub.

Información general

Este tema contiene las siguientes secciones:

Atributo Authorize

SignalR proporciona el atributo Authorize para especificar qué usuarios o roles tienen acceso a un hub o método. Este atributo está ubicado en el espacio de nombres Microsoft.AspNet.SignalR. Puede aplicar el atributo Authorize a un hub o a determinados métodos de un hub. Cuando se aplica el atributo Authorize a una clase de hub, el requisito de autorización especificado se aplica a todos los métodos del hub. A continuación se muestran los distintos tipos de requisitos de autorización que puede aplicar. Sin el atributo Authorize, todos los métodos públicos del hub están disponibles para un cliente que esté conectado al mismo.

Si ha definido un rol llamado "Admin" en su aplicación web, podría especificar que solo los usuarios con ese rol pueden acceder a un hub con el siguiente código.

[Authorize(Roles = "Admin")] 
public class AdminAuthHub : Hub 
{ 
}

O bien, puede especificar que un hub contenga un método que esté disponible para todos los usuarios y un segundo método que solo esté disponible para los usuarios autenticados, como se muestra a continuación.

public class SampleHub : Hub 
{ 
    public void UnrestrictedSend(string message){ . . . } 

    [Authorize] 
    public void AuthenticatedSend(string message){ . . . } 
}

Los siguientes ejemplos abordan diferentes escenarios de autorización:

  • [Authorize]: solo usuarios autentificados
  • [Authorize(Roles = "Admin,Manager")]: solo usuarios autentificados en los roles especificados
  • [Authorize(Users = "user1,user2")]: solo usuarios autentificados con los nombres de usuario especificados
  • [Authorize(RequireOutgoing=false)]: solo los usuarios autentificados pueden invocar el hub, pero las llamadas del servidor de vuelta a los clientes no están limitadas por la autorización, como, por ejemplo, cuando solo ciertos usuarios pueden enviar un mensaje pero todos los demás pueden recibirlo. La propiedad RequireOutgoing solo puede aplicarse a todo el hub, no a métodos individuales dentro del centro. Cuando RequireOutgoing no está establecido en false, solo se llama desde el servidor a los usuarios que cumplen el requisito de autorización.

Requerir autenticación para todos los hubs

Puede requerir la autenticación para todos los hubs y métodos de hub de su aplicación llamando al método RequireAuthentication cuando se inicie la aplicación. Puede usar este método cuando tenga varios hubs y quiera imponer un requisito de autenticación para todos ellos. Con este método, no puede especificar rol, usuario o autorización de salida. Solo puede especificar que el acceso a los métodos del hub esté restringido a los usuarios autentificados. Sin embargo, aún puede aplicar el atributo Authorize a los hubs o a los métodos para especificar requisitos adicionales. Cualquier requisito que especifique en los atributos se aplica además del requisito básico de autenticación.

El siguiente ejemplo muestra un archivo Global.asax que restringe todos los métodos del hub a usuarios autentificados.

public class Global : HttpApplication
{
    void Application_Start(object sender, EventArgs e)
    {
        RouteTable.Routes.MapHubs();
        GlobalHost.HubPipeline.RequireAuthentication();
    }
}

Si llama al método RequireAuthentication() después de que se haya procesado una solicitud de SignalR, SignalR lanzará una excepción InvalidOperationException. Esta excepción se lanza porque no se puede agregar un módulo a HubPipeline después de que la canalización haya sido invocada. El ejemplo anterior muestra la llamada al método RequireAuthentication en el método Application_Start que se ejecuta una vez antes de controlar la primera solicitud.

Autorización personalizada

Si necesita personalizar cómo se determina la autorización, puede crear una clase que derive de AuthorizeAttribute y anular el método UserAuthorized. Se llama a este método para cada solicitud para determinar si el usuario está autorizado para completar la solicitud. En el método invalidado, se proporciona la lógica necesaria para su escenario de autorización. El siguiente ejemplo muestra cómo aplicar la autorización a través de la identidad basada en notificaciones.

[AttributeUsage(AttributeTargets.Class, Inherited = false, AllowMultiple = false)]
public class AuthorizeClaimsAttribute : AuthorizeAttribute
{
    protected override bool UserAuthorized(System.Security.Principal.IPrincipal user)
    {
        if (user == null)
        {
            throw new ArgumentNullException("user");
        }

        var principal = (ClaimsPrincipal)user;

        if (principal != null)
        {
            Claim authenticated = principal.FindFirst(ClaimTypes.Authentication);
            return authenticated.Value == "true" ? true : false;
        }
        else
        {
            return false;
        }
    }
}

Pasar información de autenticación a los clientes

Puede que necesite usar información de autenticación en el código que se ejecuta en el cliente. Se pasa la información necesaria al llamar a los métodos en el cliente. Por ejemplo, un método de una aplicación de chat podría pasar como parámetro el nombre de usuario de la persona que publica un mensaje, como se muestra a continuación.

public Task SendChatMessage(string message)
{
    string name;
    var user = Context.User;

    if (user.Identity.IsAuthenticated)
    {
        name = user.Identity.Name;
    }
    else
    {
        name = "anonymous";
    }
    return Clients.All.addMessageToPage(name, message);
}

O bien, puede crear un objeto para representar la información de autenticación y pasarse ese objeto como parámetro, como se muestra a continuación.

public class SampleHub : Hub
{
    public override Task OnConnected()
    {
        return Clients.All.joined(GetAuthInfo());
    }

    protected object GetAuthInfo()
    {
        var user = Context.User;
        return new
        {
            IsAuthenticated = user.Identity.IsAuthenticated,
            IsAdmin = user.IsInRole("Admin"),
            UserName = user.Identity.Name
        };
    }
}

Nunca debe pasarse el id. de conexión de un cliente a otros clientes, ya que un usuario malintencionado podría usarlo para imitar una solicitud de ese cliente.

Opciones de autenticación para clientes .NET

Cuando tenga un cliente .NET, como una aplicación de consola, que interactúe con un hub limitado a usuarios autenticados, puede pasar las credenciales de autenticación en una cookie, en el encabezado de conexión o en un certificado. Los ejemplos de esta sección muestran cómo usar esos diferentes métodos para autenticar a un usuario. No son aplicaciones de SignalR plenamente funcionales. Para más información sobre clientes .NET con SignalR, consulte Guía de la API Hubs: Cliente .NET.

Cuando su cliente .NET interactúe con un hub que use la Autenticación mediante formularios de ASP.NET, tendrá que establecer manualmente la cookie de autenticación en la conexión. Agregue la cookie a la propiedad CookieContainer en el objeto HubConnection. El siguiente ejemplo muestra una aplicación de consola que recupera una cookie de autenticación de una página web y la agrega a la conexión. La URL https://www.contoso.com/RemoteLogin del ejemplo apunta a una página web que tendría que crear. La página recuperaría el nombre de usuario y la contraseña publicados, e intentaría registrar al usuario con las credenciales.

class Program
{
    static void Main(string[] args)
    {
        var connection = new HubConnection("http://www.contoso.com/");
        Cookie returnedCookie;

        Console.Write("Enter user name: ");
        string username = Console.ReadLine();

        Console.Write("Enter password: ");
        string password = Console.ReadLine();

        var authResult = AuthenticateUser(username, password, out returnedCookie);

        if (authResult)
        {
            connection.CookieContainer = new CookieContainer();
            connection.CookieContainer.Add(returnedCookie);
            Console.WriteLine("Welcome " + username);
        }
        else
        {
            Console.WriteLine("Login failed");
        }    
    }

    private static bool AuthenticateUser(string user, string password, out Cookie authCookie)
    {
        var request = WebRequest.Create("https://www.contoso.com/RemoteLogin") as HttpWebRequest;
        request.Method = "POST";
        request.ContentType = "application/x-www-form-urlencoded";
        request.CookieContainer = new CookieContainer();

        var authCredentials = "UserName=" + user + "&Password=" + password;
        byte[] bytes = System.Text.Encoding.UTF8.GetBytes(authCredentials);
        request.ContentLength = bytes.Length;
        using (var requestStream = request.GetRequestStream())
        {
            requestStream.Write(bytes, 0, bytes.Length);
        }

        using (var response = request.GetResponse() as HttpWebResponse)
        {
            authCookie = response.Cookies[FormsAuthentication.FormsCookieName];
        }

        if (authCookie != null)
        {
            return true;
        }
        else
        {
            return false;
        }
    }
}

La aplicación de consola publica las credenciales en www.contoso.com/RemoteLogin, que podría referirse a una página vacía que contiene el siguiente archivo de código subyacente.

using System;
using System.Web.Security;

namespace SignalRWithConsoleChat
{
    public partial class RemoteLogin : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            string username = Request["UserName"];
            string password = Request["Password"];
            bool result = Membership.ValidateUser(username, password);
            if (result)
            {
                FormsAuthentication.SetAuthCookie(username, false);
            }
        }
    }
}

Autenticación de Windows

Al usar la autenticación de Windows, puede pasar las credenciales del usuario actual usando la propiedad DefaultCredentials. Establezca las credenciales para la conexión con el valor de DefaultCredentials.

class Program
{
    static void Main(string[] args)
    {
        var connection = new HubConnection("http://www.contoso.com/");
        connection.Credentials = CredentialCache.DefaultCredentials;
        connection.Start().Wait();
    }
}

Encabezado de la conexión

Si su aplicación no usa cookies, puede pasar la información del usuario en el encabezado de conexión. Por ejemplo, puede pasar el token en el encabezado de conexión.

class Program
{
    static void Main(string[] args)
    {
        var connection = new HubConnection("http://www.contoso.com/");
        connection.Headers.Add("myauthtoken", /* token data */);
        connection.Start().Wait();
    }
}

Después, en el hub, verificaría el token del usuario.

Certificate

Puede pasar un certificado de cliente para verificar al usuario. El certificado se agrega al crear la conexión. El siguiente ejemplo muestra solo cómo agregar un certificado de cliente a la conexión; no muestra la aplicación de consola completa. Usa la clase X509Certificate que proporciona varias formas diferentes de crear el certificado.

class Program
{
    static void Main(string[] args)
    {
        var connection = new HubConnection("http://www.contoso.com/");
        connection.AddClientCertificate(X509Certificate.CreateFromCertFile("MyCert.cer"));
        connection.Start().Wait();
    }
}