.Net SignalR 在还配置了 Cookie 身份验证时使用 JWT 承载身份验证

Posted 2023-04-12

【中文标题】.Net SignalR 在还配置了 Cookie 身份验证时使用 JWT 承载身份验证

【英文标题】：.Net SignalR use JWT Bearer Authentication when Cookie Authentication is also configured

【发布时间】：2021-10-07 15:29:03

【问题描述】：

我有一个 ASP.NET 5 WebApp，它是更大系统的一部分，并使用 Cookie 身份验证来处理浏览器请求。

我想添加在某些 Windows 服务上请求数据和执行特定操作的功能，这些服务也是整个系统的一部分，并在几台单独的 PC 上执行。我想为此使用 SignalR。 然后，Windows 服务作为我们 ActiveDirectory 的一部分的专用服务标识运行。由于服务不应将其用户凭据存储在代码或本地配置文件中，因此它们正在从与 Windows 身份验证一起使用的 API 请求 Web 应用程序的身份验证令牌。

然后，在与 Web 应用建立 SignalR 连接时，服务将使用从 API 接收到的令牌对 Web 应用进行身份验证。这通常是有效的。

web应用的Authentication配置是：

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
        .AddCookie(options =>
        
            options.LoginPath = "/Login";
            options.ExpireTimeSpan = TimeSpan.FromMinutes(12);
            options.SlidingExpiration = true;
        )
        .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, opt =>
        
            // Configuration details excluded 
            // ...
            opt.Events = new JwtBearerEvents
            
                OnMessageReceived = context =>
                
                    // ...
                
            ;

根据Microsoft Documentation，这应该是一个有效的身份验证配置。

在services.AddAuthorization(...) 方法中，我添加了特定于承载方案的策略：

options.AddPolicy("SignalRService", policy =>

    policy.RequireRole("SignalRService"); 
    policy.AuthenticationSchemes.Add(JwtBearerDefaults.AuthenticationScheme);
);

然后有一个受此策略保护的 SignalR Hub 方法：

[Authorize(Policy = "SignalRService")]
public async Task RegisterService(string clientIdString)  /*...*/ 

最后在windows服务中创建hub连接如下：

connection = new HubConnectionBuilder()
    .WithUrl(hubAddress, options =>
    
        options.AccessTokenProvider = () => Task.FromResult(authToken);
    )
    .WithAutomaticReconnect()
    .Build();

建立连接工程：

await connection.StartAsync();

但是当我尝试从 Windows 服务调用集线器方法时，例如 await connection.InvokeAsync("RegisterService", clientId);，我收到带有消息的 HubException：

调用“RegisterService”失败，因为用户未经授权

我还在网络应用上创建了一个 API 控制器用于测试目的，并使用相同的策略对其进行保护：

[HttpGet]
[Authorize(Policy = "SignalRService")]
public IActionResult Get()

    return Ok(User.Identity.Name);

当我使用与 SignalR Hub 调用相同的令牌调用此 API 端点时，我得到了按预期返回的令牌上设置的身份。我还验证了配置的 OnMessageReceived 事件处理程序在这种情况下执行，而在我使用 SignalR 连接时没有执行。

当我将JwtBearerDefaults.AuthenticationScheme 设置为Startup.cs 而不是CookieAuthenticationDefaults.AuthenticationScheme 中的默认方案时，它也适用于SignalR Hub，但随后我的标准基于Cookie 的用户身份验证中断。

我希望在调用 Hub 方法时需要一些额外的配置来告诉 Web 应用程序明确使用 Bearer 方案，但到目前为止我找不到任何东西。

【参考方案1】：

又拼命尝试了一个小时，当我将Authorize(Policy = "SignalRService")直接放在类而不是方法上时，我发现特定的承载身份验证使用Cookie身份验证作为默认值。

由于使用 cookie 的浏览器连接也应该可以访问我的集线器，因此我最终得到了：

[Authorize(AuthenticationSchemes = "Bearer,Cookies")]
public class SignalRServiceHub : Hub

    
    [Authorize(Policy = "SignalRService")]
    public async Task RegisterService(string clientIdString)
    
        // ...
    

    [Authorize(Policy = "Root")]
    public async Task RegisterMonitoringClient()
    
        // ...
    

我不完全确定为什么在这种情况下需要在类级别指定方案，而它不适用于 ApiController 实现