Поделиться через


Проверка подлинности и авторизация для концентраторов SignalR (SignalR 1.x)

Патрик Флетчер( Patrick Fletcher),Том ФицМаккен (Tom FitzMacken)

Предупреждение

Эта документация не для последней версии SignalR. Взгляните на ASP.NET Core SignalR.

В этом разделе описывается, как ограничить доступ пользователей или ролей к методам концентратора.

Общие сведения

Этот раздел состоит из следующих подразделов.

Атрибут Authorize

SignalR предоставляет атрибут Authorize , чтобы указать, какие пользователи или роли имеют доступ к концентратору или методу. Этот атрибут находится в Microsoft.AspNet.SignalR пространстве имен. Атрибут применяется Authorize либо к концентратору, либо к определенным методам в концентраторе. При применении атрибута Authorize к классу концентратора указанное требование авторизации применяется ко всем методам в концентраторе. Ниже приведены различные типы требований к авторизации, которые можно применить. Без атрибута Authorize все открытые методы в концентраторе доступны для клиента, подключенного к концентратору.

Если в веб-приложении определена роль с именем "Администратор", можно указать, что только пользователи с этой ролью могут получить доступ к центру с помощью следующего кода.

[Authorize(Roles = "Admin")] 
public class AdminAuthHub : Hub 
{ 
}

Или можно указать, что концентратор содержит один метод, доступный всем пользователям, а второй — только для пользователей, прошедших проверку подлинности, как показано ниже.

public class SampleHub : Hub 
{ 
    public void UnrestrictedSend(string message){ . . . } 

    [Authorize] 
    public void AuthenticatedSend(string message){ . . . } 
}

В следующих примерах рассматриваются различные сценарии авторизации.

  • [Authorize] — только прошедшие проверку подлинности пользователи
  • [Authorize(Roles = "Admin,Manager")] — только прошедшие проверку подлинности пользователи в указанных ролях.
  • [Authorize(Users = "user1,user2")] — только прошедшие проверку подлинности пользователи с указанными именами пользователей
  • [Authorize(RequireOutgoing=false)] — только пользователи, прошедшие проверку подлинности, могут вызывать концентратор, но вызовы с сервера обратно клиентам не ограничиваются авторизацией, например, когда только некоторые пользователи могут отправлять сообщение, но все остальные могут получать сообщение. Свойство RequireOutgoing может применяться только ко всему концентратору, а не к отдельным методам в концентраторе. Если параметр RequireOutgoing не имеет значение false, с сервера вызываются только пользователи, удовлетворяющие требованиям авторизации.

Требовать проверку подлинности для всех центров

Вы можете требовать проверку подлинности для всех центров и методов концентраторов в приложении, вызвав метод RequireAuthentication при запуске приложения. Этот метод можно использовать, если у вас есть несколько концентраторов и требуется применить требование проверки подлинности для всех из них. С помощью этого метода невозможно указать роль, пользователя или исходящую авторизацию. Вы можете указать, что доступ к методам концентратора ограничен пользователями, прошедшими проверку подлинности. Однако вы по-прежнему можете применить атрибут Authorize к центрам или методам, чтобы указать дополнительные требования. Любое требование, указанное в атрибутах, применяется в дополнение к базовому требованию проверки подлинности.

В следующем примере показан файл Global.asax, который ограничивает все методы концентратора для пользователей, прошедших проверку подлинности.

public class Global : HttpApplication
{
    void Application_Start(object sender, EventArgs e)
    {
        RouteTable.Routes.MapHubs();
        GlobalHost.HubPipeline.RequireAuthentication();
    }
}

Если вызвать RequireAuthentication() метод после обработки запроса SignalR, SignalR создаст InvalidOperationException исключение. Это исключение возникает из-за невозможности добавить модуль в HubPipeline после вызова конвейера. В предыдущем примере показан вызов RequireAuthentication метода в методе Application_Start , который выполняется один раз перед обработкой первого запроса.

Настраиваемая авторизация

Если необходимо настроить способ определения авторизации, можно создать класс, производный от AuthorizeAttribute , и переопределить метод UserAuthorized . Этот метод вызывается для каждого запроса, чтобы определить, авторизован ли пользователь на выполнение запроса. В переопределенном методе вы предоставляете необходимую логику для сценария авторизации. В следующем примере показано, как применить авторизацию с помощью удостоверения на основе утверждений.

[AttributeUsage(AttributeTargets.Class, Inherited = false, AllowMultiple = false)]
public class AuthorizeClaimsAttribute : AuthorizeAttribute
{
    protected override bool UserAuthorized(System.Security.Principal.IPrincipal user)
    {
        if (user == null)
        {
            throw new ArgumentNullException("user");
        }

        var principal = (ClaimsPrincipal)user;

        if (principal != null)
        {
            Claim authenticated = principal.FindFirst(ClaimTypes.Authentication);
            return authenticated.Value == "true" ? true : false;
        }
        else
        {
            return false;
        }
    }
}

Передача сведений о проверке подлинности клиентам

Может потребоваться использовать сведения о проверке подлинности в коде, который выполняется на клиенте. При вызове методов на клиенте передаются необходимые сведения. Например, метод приложения чата может передать в качестве параметра имя пользователя, публикующего сообщение, как показано ниже.

public Task SendChatMessage(string message)
{
    string name;
    var user = Context.User;

    if (user.Identity.IsAuthenticated)
    {
        name = user.Identity.Name;
    }
    else
    {
        name = "anonymous";
    }
    return Clients.All.addMessageToPage(name, message);
}

Кроме того, можно создать объект для представления сведений о проверке подлинности и передать этот объект в качестве параметра, как показано ниже.

public class SampleHub : Hub
{
    public override Task OnConnected()
    {
        return Clients.All.joined(GetAuthInfo());
    }

    protected object GetAuthInfo()
    {
        var user = Context.User;
        return new
        {
            IsAuthenticated = user.Identity.IsAuthenticated,
            IsAdmin = user.IsInRole("Admin"),
            UserName = user.Identity.Name
        };
    }
}

Никогда не следует передавать идентификатор подключения одного клиента другим клиентам, так как злоумышленник может использовать его для имитации запроса от этого клиента.

Варианты проверки подлинности для клиентов .NET

Если у вас есть клиент .NET, например консольное приложение, которое взаимодействует с концентратором, который ограничен пользователями, прошедшими проверку подлинности, вы можете передать учетные данные проверки подлинности в файле cookie, заголовке подключения или сертификате. В примерах в этом разделе показано, как использовать эти различные методы для проверки подлинности пользователя. Они не являются полностью функциональными приложениями SignalR. Дополнительные сведения о клиентах .NET с SignalR см. в статье Руководство по API концентраторов — клиент .NET.

Когда клиент .NET взаимодействует с концентратором, использующим ASP.NET проверку подлинности с помощью форм, необходимо вручную задать файл cookie проверки подлинности для подключения. Файл cookie добавляется в CookieContainer свойство объекта HubConnection . В следующем примере показано консольное приложение, которое извлекает файл cookie проверки подлинности с веб-страницы и добавляет его в подключение. URL-адрес https://www.contoso.com/RemoteLogin в примере указывает на веб-страницу, которую необходимо создать. Страница извлекает имя пользователя и пароль, а затем пытается войти в систему с учетными данными.

class Program
{
    static void Main(string[] args)
    {
        var connection = new HubConnection("http://www.contoso.com/");
        Cookie returnedCookie;

        Console.Write("Enter user name: ");
        string username = Console.ReadLine();

        Console.Write("Enter password: ");
        string password = Console.ReadLine();

        var authResult = AuthenticateUser(username, password, out returnedCookie);

        if (authResult)
        {
            connection.CookieContainer = new CookieContainer();
            connection.CookieContainer.Add(returnedCookie);
            Console.WriteLine("Welcome " + username);
        }
        else
        {
            Console.WriteLine("Login failed");
        }    
    }

    private static bool AuthenticateUser(string user, string password, out Cookie authCookie)
    {
        var request = WebRequest.Create("https://www.contoso.com/RemoteLogin") as HttpWebRequest;
        request.Method = "POST";
        request.ContentType = "application/x-www-form-urlencoded";
        request.CookieContainer = new CookieContainer();

        var authCredentials = "UserName=" + user + "&Password=" + password;
        byte[] bytes = System.Text.Encoding.UTF8.GetBytes(authCredentials);
        request.ContentLength = bytes.Length;
        using (var requestStream = request.GetRequestStream())
        {
            requestStream.Write(bytes, 0, bytes.Length);
        }

        using (var response = request.GetResponse() as HttpWebResponse)
        {
            authCookie = response.Cookies[FormsAuthentication.FormsCookieName];
        }

        if (authCookie != null)
        {
            return true;
        }
        else
        {
            return false;
        }
    }
}

Консольное приложение отправляет учетные данные в www.contoso.com/RemoteLogin который может ссылаться на пустую страницу, содержащую следующий файл кода программной части.

using System;
using System.Web.Security;

namespace SignalRWithConsoleChat
{
    public partial class RemoteLogin : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            string username = Request["UserName"];
            string password = Request["Password"];
            bool result = Membership.ValidateUser(username, password);
            if (result)
            {
                FormsAuthentication.SetAuthCookie(username, false);
            }
        }
    }
}

Проверка подлинности Windows

При использовании проверка подлинности Windows можно передать учетные данные текущего пользователя с помощью свойства DefaultCredentials. Для учетных данных подключения задается значение DefaultCredentials.

class Program
{
    static void Main(string[] args)
    {
        var connection = new HubConnection("http://www.contoso.com/");
        connection.Credentials = CredentialCache.DefaultCredentials;
        connection.Start().Wait();
    }
}

Заголовок подключения

Если приложение не использует файлы cookie, вы можете передать сведения о пользователе в заголовке подключения. Например, можно передать маркер в заголовке подключения.

class Program
{
    static void Main(string[] args)
    {
        var connection = new HubConnection("http://www.contoso.com/");
        connection.Headers.Add("myauthtoken", /* token data */);
        connection.Start().Wait();
    }
}

Затем в концентраторе необходимо проверить маркер пользователя.

Сертификат

Вы можете передать сертификат клиента для проверки пользователя. Сертификат добавляется при создании подключения. В следующем примере показано, как добавить сертификат клиента к подключению. Не отображается полное консольное приложение. Он использует класс X509Certificate , который предоставляет несколько различных способов создания сертификата.

class Program
{
    static void Main(string[] args)
    {
        var connection = new HubConnection("http://www.contoso.com/");
        connection.AddClientCertificate(X509Certificate.CreateFromCertFile("MyCert.cer"));
        connection.Start().Wait();
    }
}