如何解决连接到 ASP.NET Core SignalR 集线器时如何指定客户端证书
我有一个 .NET SignalR 客户端(在 www.domain1.com 下托管的 ASP.NET Web API 2 项目中),它连接到托管在 .NET Core API 中的 SignalR 集线器项目(www.domain2.com)。这两个 Web 项目都托管在 IIS 下。 API 设置为使用 JWT Bearer 作为其默认身份验证方案。 .NET 客户端可以通过指定 AccessTokenProvider
委托成功通过集线器进行身份验证,该委托实质上调用 API 上的登录方法并返回 JWT 令牌。我想通过使用 ClientCertificates.Add
对象上的 HttpConnectionOptions
向 SignalR 请求添加客户端证书来添加额外的安全层,但无论我尝试什么,我都无法访问证书接收端(API)。从存储中检索的证书是完整证书 (.pfx)。 API 设置为使用 CORS,我允许 www.domain1.com。
我尝试过的事情:
- 通过 .NET Core API 端的
HttpContext.Connection.ClientCertificate
访问证书 - 这始终返回 null。 - 在客户端使用带有证书的
WebRequestHandler
调用 .NET Core API,只是为了查看这是否确实通过证书发送 - 这也在接收端返回 null。 - 使用 Configure certificate authentication in ASP.NET Core 中概述的步骤配置 API 以使用证书
- 在 IIS 中为 API 站点指定“需要 SSL”选项
难道是因为我试图跨域发送证书?为此使用证书是否值得在安全方面做一些事情?任何帮助将不胜感激。
这是 SignalR 客户端设置代码:
private static HubConnection CreateHubConnection()
{
var certStore = new X509Store(StoreName.My,StoreLocation.LocalMachine);
certStore.Open(OpenFlags.ReadOnly | OpenFlags.OpenExistingOnly);
var certificateCollection = certStore.Certificates.Find(X509FindType.FindByThumbprint,"mythumbprint",false);
X509Certificate2 cert = certificateCollection[0];
_hubConnection = new HubConnectionBuilder()
.WithUrl($"{_url}/signalR",(HttpConnectionOptions options) =>
{
// This is what I am trying to get to work
options.ClientCertificates.Add(cert);
// This works fine,but I'd like to add an extra layer of security by using a certificate
options.AccessTokenProvider = async () => await TryGetAccessTokenAsync();
})
.ConfigureLogging(builder => builder.AddDebug())
.WithAutomaticReconnect(new MyHubClientRetryPolicy())
.Build();
}
private static async Task<string> TryGetAccessTokenAsync()
{
string signalRLoginDetails = JsonConvert.SerializeObject(new { Username = "username",Password = "password" });
var content = new StringContent(signalRLoginDetails,Encoding.UTF8,MimeMediaTypeNames.Json);
HttpResponseMessage response = await _httpClient.PostAsync(_loginUrl,content);
response.EnsureSuccessStatusCode();
string token = await response.Content.ReadAsStringAsync();
return token;
}
我的 API 是这样设置的:
public void ConfigureServices(IServiceCollection services)
{
// Other code omitted for brevity
var key = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(appSettings.Secret));
services
.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
options.SaveToken = true;
options.TokenValidationParameters = new TokenValidationParameters
{
ValidIssuer = appSettings.Issuer,ValidAudience = appSettings.Audience,ValidateIssuer = true,ValidateAudience = true,ValidateLifetime = true,ValidateIssuerSigningKey = true,IssuerSigningKey = key,ClockSkew = TimeSpan.FromSeconds(5),};
options.Events = new JwtBearerEvents
{
OnMessageReceived = context =>
{
var accessToken = context.Request.Query["access_token"];
var path = context.HttpContext.Request.Path;
if (!string.IsNullOrWhiteSpace(accessToken) && path.StartsWithSegments(Constants.SignalR.Endpoint))
{
context.Token = accessToken;
}
return Task.CompletedTask;
}
};
});
}
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。