1

我们正在尝试扩展我们的日历应用程序,该应用程序使用 SignalR 根据用户的OrganizationId. 以前,SignalR 的东西托管在单个 App Server 中,但为了使其跨多个服务器工作,我们选择使用 Azure SignalR 服务。

但是,当应用程序使用 Azure 解决方案时,自动化会中断。

Startup.cs在处理 Hub 端点时,设置了身份验证以在 url/query-string 中查找令牌:

//From: Startup.cs (abridged)
public IServiceProvider ConfigureServices(IServiceCollection services)
    var authenticationBuilder = services.AddAuthentication(options => {
            options.DefaultAuthenticateScheme = OAuthValidationDefaults.AuthenticationScheme;
            options.DefaultChallengeScheme = OAuthValidationDefaults.AuthenticationScheme;
        });
        
    authenticationBuilder
        .AddOAuthValidation(options => {
            options.Events.OnRetrieveToken = async context => {
                // Based on https://docs.microsoft.com/en-us/aspnet/core/signalr/authn-and-authz?view=aspnetcore-3.0
                var accessToken = context.HttpContext.Request.Query["access_token"];

                var path = context.HttpContext.Request.Path;
                if (!string.IsNullOrEmpty(accessToken) && path.StartsWithSegments("/signalr/calendar")) {
                    context.Token = accessToken;
                }
                return;
            };
        })
        .AddOpenIdConnectServer(options => {
            options.TokenEndpointPath = "/token";
            options.ProviderType = typeof(ApplicationOAuthProvider);
            /*...*/
        });
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env, IApplicationLifetime applicationLifetime) {
        app.UseAuthentication();
}

使用 Azure SignalR 服务时,OnRetrieveToken根本不会命中事件代码,这很有意义,因为请求不再针对应用服务,而是针对 Azure SignalR 服务的 url。

当 SignalR 托管在应用服务器上时,此 Hub 可以工作:

[Authorize(Roles = "Manager, Seller")]
public class CalendarHub : Hub<ICalendarClient> {
    private IHttpContextAccessor httpContextAccessor;
    public CalendarHub(IHttpContextAccessor httpContextAccessor) { this.httpContextAccessor = httpContextAccessor } 

    public override async Task OnConnectedAsync() {
        await Groups.AddToGroupAsync(Context.ConnectionId, GetClaimValue("OrganizationId"));
        await base.OnConnectedAsync();
    }

    private string GetClaimValue(string claimType) {
        var identity = (ClaimsIdentity)httpContextAccessor?.HttpContext?.User.Identity;
        var claim = identity?.FindFirst(c => c.Type == claimType);

        if (claim == null)
            throw new InvalidOperationException($"No claim of type {claimType} found.");

        return claim.Value;
    }
}

但是当我切换到 Azure 解决方案时:

//From: Startup.cs (abridged)
public IServiceProvider ConfigureServices(IServiceCollection services)
    services.AddSignalR().AddAzureSignalR();
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env, IApplicationLifetime applicationLifetime) {
    app.UseAzureSignalR(routes => routes.MapHub<CalendarHub>("/signalr/calendar"));
}

...连接到集线器会导致异常No claim of type OrganizationId found.,因为它identity是完全空的,就好像没有用户通过身份验证一样。这特别奇怪,因为我已经限制了对特定角色的用户的访问。

4

1 回答 1

2

事实证明,错误与用于获取声明值的这个问题相同,HttpContext因为这是我们在其他任何地方所做的。只要是应用服务本身处理与客户端的连接,这似乎就可以工作。

但 Azure SignalR 服务在其他地方提供声明:

正确的方法是使用从 SignalR Hub 访问时Context具有类型的类型。HubCallerContext所有索赔都可以从这里获得,无需额外工作。

所以获取索赔的方法变成了

private string GetClaimValue(string claimType) {
    var identity = Context.User.Identity;
    var claim = identity.FindFirst(c => c.Type == claimType);

    if (claim == null)
        throw new InvalidOperationException($"No claim of type {claimType} found.");

    return claim.Value;
}
于 2020-08-10T10:01:06.380 回答