asp.net – SignalR：如何强制认证/终止中心连接服务器端

发布时间：2020-12-15 19:39:31 所属栏目：asp.Net 来源：网络整理

导读：这个问题与另一个线程有关,您可以阅读 here: Forms authentication with SignalR,在那里我尝试了用户 dfowler的帮助和耐心,了解如何在SignalR Hub上执行ASP .NET Forms身份验证. 问题描述：我想只有经过身份验证的用户才能连接SignalR Hub并接收/发送消息.

这个问题与另一个线程有关,您可以阅读 here: Forms authentication with SignalR,在那里我尝试了用户 dfowler的帮助和耐心,了解如何在SignalR Hub上执行ASP .NET Forms身份验证.

问题描述：我想只有经过身份验证的用户才能连接SignalR Hub并接收/发送消息.

入侵场景：入侵者可以捕获/访问访问客户端计算机上的临时文件的网页的HTML和Javascript.因此,这个入侵者可以知道设置/使用到Hub的连接所需的所有细节(方法,集线器名称等).
dfowler提出的解决方案是implementing IConnect：

You would implement IConnected and write the following code in Connect if(!Context.User.Identity.IsAuthenticated) throw new Exception(“GTFO”);

所以我试过这样的东西

public System.Threading.Tasks.Task Connect()
    {
        if (!Context.User.Identity.IsAuthenticated
            || !(Context.User.IsInRole("role1") || Context.User.IsInRole("role2")
            ))
            throw new Exception("User not authorized");
        return null;
    }

一旦测试,这个问题是,当Connect方法被调用时,连接已经建立,并且明显的抛出异常将不会有帮助(如果我得到的话,如果正确的情况下连接应该用于在连接时向客户端发送消息,抛出异常只会产生未发送的欢迎消息).

事实上,从我的测试中,客户端仍然可以读取所有的消息(并发送它们).

现在,我想到的方法：

>完美的解决方案：拒绝或终止服务器端的连接：没有线索如何在SignalR(我试图找到方法在API,但没有运气)
>检查用户是否是组的一部分,以避免收到/发送消息给他(但这仍然容易发生洪水/ DOS攻击)
>向客户端发送消息以断开连接：显然没有帮助,以防我遇到入侵者.

任何其他方法？任何方式终止服务器端的连接,还是应该接受唯一的真实身份验证是主机网页之一(留下所有的signalR客户端攻击的门)？

编辑

当我使用IConnect.Connect方法无条件抛出异常(浏览器IE9)时,这是客户端 – 服务器通信的顺序：

它看起来像foreverFrame失败,但longPolling的后备正在建立和工作 – 无论如何 – 这之后,在JavaScript中捕获的错误被块

if (connection.state === signalR.connectionState.connecting) {
            // Connection hasn't been started yet
            throw "SignalR: Connection has not been fully initialized. 
    Use .start().done() or .start().fail() to run logic after 
    the connection has started.";
        }

解决方法

我们有一个问题,我们需要允许完全阻止连接.现在你必须保护每个方法.这不是最干净的,但对于1.0 alpha1,我们将有一些这样做的机制.

另外一个问题是,它与所有集线器的连接是相同的,因此您不能拒绝特定集线器的连接.

编辑

实际上,如果你把它连接到我的测试结束.你看到什么行为？

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!