5

我在 Asp.Net 之上创建了一个实现基本身份验证的 ServiceStack 服务。服务路线上一切正常。我能够登录并获得会话 cookie,这些 cookie 在后续调用中得到验证。我正在为这些请求使用 HttpClient 。

我还有一个在同一个 Asp.Net 服务上运行的 SignalR 集线器,但主体未在我的集线器方法上进行身份验证。

基本上我需要的是 ServiceStack 拦截对我的集线器的调用并验证会话 cookie 并填充 Context.User.Identity 并将其标记为已验证。如果我可以进行设置,我的集线器上的一个简单的 [Authorize] 属性将完成剩下的工作。

这是我的代码示例:

// set up a HttpClient with a cookie container to hold the session cookie
var cookieJar = new CookieContainer();
var handler = new HttpClientHandler { CookieContainer = cookieJar, UseCookies = true,  UseDefaultCredentials = false };

var client = new HttpClient(handler) { BaseAddress = _baseUri };

client.DefaultRequestHeaders.Authorization =
new AuthenticationHeaderValue("Basic",
    Convert.ToBase64String(Encoding.ASCII.GetBytes(string.Format("{0}:{1}", userName, password))));

// do client login and get response with session cookie...
var response = client.PostAsync(...);

// add the cookies to the SignalR hub connection
var responseCookies = cookieJar.GetCookies(_baseUri);
var cookieContainer = new CookieContainer();
foreach (Cookie cookie in responseCookies)
{
   cookieContainer.Add(cookie);
}
_hubConnection = new HubConnection(_baseUri.ToString()) { CookieContainer = cookieContainer };

完成此设置后,我的会话 cookie 会在每次调用时发送到集线器。不知何故,我需要 ServiceStack 拦截这些请求并设置经过身份验证的用户。

4

2 回答 2

6

让 ServiceStack 进行身份验证并保持用户会话。然后在需要身份验证的 SignalR 集线器端点中放置以下代码:

var cache = AppHostBase.Resolve<ICacheClient>();
var sess = cache.SessionAs<AuthUserSession>();
if (!sess.IsAuthenticated)
    throw new AuthenticationException();
于 2013-02-08T08:01:01.553 回答
2

Johan 的回答有效,但将这段代码放在每个方法中并不是很方便,如果你把它放在集线器构造函数中,它将在网页刷新中失败,并出现“仅支持通过单例访问的 ASP.NET 请求”异常。

相反,我选择创建一个自定义属性,让您可以更好地控制集线器和方法调用授权。

最简单的属性如下所示:

[AttributeUsage(AttributeTargets.Class, Inherited = false)]
public class AuthorizeServiceStack : AuthorizeAttribute
{
    public override bool AuthorizeHubConnection(HubDescriptor hubDescriptor, IRequest request)
    {
        return CheckAuthorization();
    }

    public override bool AuthorizeHubMethodInvocation(IHubIncomingInvokerContext hubIncomingInvokerContext, bool appliesToMethod)
    {
        return CheckAuthorization();
    }

    private static bool CheckAuthorization()
    {
        var cache = AppHostBase.Resolve<ICacheClient>();
        var sess = cache.SessionAs<AuthUserSession>();
        return sess.IsAuthenticated;
    }

}

如您所见,代码与 Johan 的答案相同,但它也可以在 Web 中工作,确保在调用 cache.SessionAs 时 HttpContext.Current 不为空

于 2015-04-23T08:38:40.617 回答