[SignalR2] 认证和授权

SignalR自身不提供任何用户认证特征，相反，是直接使用现有且基于（Claims-based）声明认证系统（关于这方面知识详见参考资料），非常明了，不解释，看代码中的验证代码：

protected virtual bool UserAuthorized(IPrincipal user)
{
    if (user == null)
    {
        return false;
    }
    if (!user.Identity.IsAuthenticated)
    {
        return false;
    }
    if (_usersSplit.Length > 0 && !_usersSplit.Contains(user.Identity.Name, StringComparer.OrdinalIgnoreCase))
    {
        return false;
    }
    if (_rolesSplit.Length > 0 && !_rolesSplit.Any(user.IsInRole))
    {
        return false;
    }
    return true;
}

当我们采用ASP.NET认证系统时，会自动处理认证信息，所以我们只需要关心我们的授权部分。

Authorize 属性

[Authorize] 属性来指定哪里用户可以访问Hub或Hub下的某个方法，这种办法如同ASP.NET MVC完全一样，它包括三个属性：

• [Authorize] 只允许授权用户访问。
• [Authorize(Roles = "Admin,Manager")] 指定拥有 Admin、Manager 角色。
• [Authorize(Users = "user1,user2")] 指定用户名为 user1、user2 访问。
• [Authorize(RequireOutgoing=false)] 当设置为false后可以限定某些人在服务端中调用，但所有人都可以接收消息。

当然我们也可以直接在 Startup.cs 调用 GlobalHost.HubPipeline.RequireAuthentication();，这相当于所有Hub都需要用户认证。

自定义 Authorize

可以直接继承 AuthorizeAttribute 类，其中我们可以重写 UserAuthorized 来调整我们的授权逻辑。

其实整个SignalR的认证就是调用ASP.NET的认证体系，SignalR只是重写的授权这一部分，但授权也非常简单无非就是是否验证成功、角色授权等等。

以下我会提几下特殊的情况：

杜绝 Session

很多项目都会使用Session来保存用户认证信息，但确保不要这么做，在SignalR官网默认也是建议不使用Session，当然你可以使用它，但你启用后他会打破双向通信，也就是说你将无法体验双向通信功能。具体原因我未证实但应该是由于Session会导致每一次请求数据进行一次序列化这完全不符合双向通信的原则嘛。

ASP.NET API中的OAuth2票据令牌认证

这个比较特殊是在于对于默认发送票据字符串是靠header，而对于webSocket是不允许添加header的。所以这里面我提供另一种解决办法：

1. 请求时将令牌数据放到URI中，这样就可以解决webSocket请求的问题。
2. 自定义一个 Authorize。
3. 根据票据字符串返回具体票据对象，同时判断票据是否有效。
4. 将有效的票据存入 request.Environment["server.User"]，以便于后面使用。这里的 Environment 实际就是 OWIN 的参数，而关于 OWIN 的好处可以见参考资料。
5. 当调用Hub方法时，我们重新构建一个 HubCallerContext，当然是先将票据对象写入才重新构建的，这样子我们的上下文是一个带有 Context.User。

以下是完整代码：

public class QueryStringBearerAuthorizeAttribute : AuthorizeAttribute
{
    public override bool AuthorizeHubConnection(Microsoft.AspNet.SignalR.Hubs.HubDescriptor hubDescriptor, IRequest request)
    {
        var token = request.QueryString.Get("Bearer");
        if (String.IsNullOrEmpty(token)) return false;
        var ticket = Startup.OAuthOptions.AccessTokenFormat.Unprotect(token);
        if (ticket != null && ticket.Identity != null && ticket.Identity.IsAuthenticated)
        {
            // set the authenticated user principal into environment so that it can be used in the future
            request.Environment["server.User"] = new ClaimsPrincipal(ticket.Identity);
            return true;
        }
        return false;
    }
    public override bool AuthorizeHubMethodInvocation(Microsoft.AspNet.SignalR.Hubs.IHubIncomingInvokerContext hubIncomingInvokerContext, bool appliesToMethod)
    {
        var connectionId = hubIncomingInvokerContext.Hub.Context.ConnectionId;
        // check the authenticated user principal from environment
        var environment = hubIncomingInvokerContext.Hub.Context.Request.Environment;
        var principal = environment["server.User"] as ClaimsPrincipal;
        if (principal != null && principal.Identity != null && principal.Identity.IsAuthenticated)
        {
            // create a new HubCallerContext instance with the principal generated from token
            // and replace the current context so that in hubs we can retrieve current user identity
            hubIncomingInvokerContext.Hub.Context = new HubCallerContext(new ServerRequest(environment), connectionId);
            return true;
        }
        else
        {
            return false;
        }
    }
}

对于客户端我们需要将票据字符串放到一个 Bearer 里面。

$.connection.hub.start({ qs: { Bearer: 'xxxxxx' } });

总结

SignalR的认证和ASP.NET完全是一起的，所以关于这一点完全没有任何学习成本。但最好采用claims-based identity认证方式，同时杜绝在SignalR里面使用Session。

查看 SignalR系列文章

参考资料

1. 【Jesse Liu】ASP.NET Identity登录原理 – Claims-based认证和OWIN。
2. Authentication and Authorization for SignalR Hubs。

Categories: 技术

Tags: SignalR

« [SignalR2] 服务端主动推送[SignalR2] AngularJS 应用 »