JWT + SignalR на ASP Core 3 приводит к 401 несанкционированному доступу
Если я использую http-вызовы вне signalr, например, с postman или httpclient, я могу успешно проверить свой токен на сервере. Когда я пытаюсь подключиться через свой концентратор сигналов, токен не проходит авторизацию.
Bearer was not authenticated. Failure message: No SecurityTokenValidator available for token: Bearer MyTokenFooBar
Моя настройка службы:
public void ConfigureServices(IServiceCollection services)
{
services.AddRouting();
services.AddControllers();
services.AddHealthChecks();
services.AddDbContext<ApplicationDbContext>(options => options.UseSqlServer(builder => { builder.ConnectionString = _configuration.GetConnectionString("DefaultConnection"); }));
services.AddIdentity<ApplicationUser, IdentityRole>(setup =>
{
// foo
}).AddEntityFrameworkStores<ApplicationDbContext>().AddDefaultTokenProviders();
services.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
options.RequireHttpsMetadata = false;
options.SaveToken = true;
options.TokenValidationParameters = new TokenValidationParameters
{
ValidIssuer = _configuration["Jwt:Issuer"],
ValidAudience = _configuration["Jwt:Audience"],
ValidateIssuer = false,
ValidateAudience = false,
ValidateIssuerSigningKey = false,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["Jwt:Key"])),
ValidateLifetime = false
};
options.Events = new JwtBearerEvents
{
OnMessageReceived = context =>
{
var path = context.HttpContext.Request.Path;
if (!path.StartsWithSegments("/chat")) return Task.CompletedTask;
var accessToken = context.Request.Headers[HeaderNames.Authorization];
if (!string.IsNullOrWhiteSpace(accessToken) && context.Scheme.Name == JwtBearerDefaults.AuthenticationScheme)
{
context.Token = accessToken;
}
return Task.CompletedTask;
}
};
});
services.AddAuthorization();
services.AddSignalR(options => { options.EnableDetailedErrors = true; });
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(options =>
{
options.MapHealthChecks("/health");
options.MapControllerRoute("default", "{controller=Home}/{action=Index}/{id?}");
});
app.UseSignalR(options => { options.MapHub<ChatHub>("/chat"); });
}
Я использую базовый HTTP-заголовок аутентификации для начального подключения, который подпишет пользователя и сгенерирует токен jwt в качестве ответа для использования в будущих вызовах.
[HttpPost]
[AllowAnonymous]
public async Task<IActionResult> Login()
{
var (headerUserName, headerPassword) = GetAuthLoginInformation(HttpContext);
var signInResult = await _signInManager.PasswordSignInAsync(headerUserName, headerPassword, false, false);
if (!signInResult.Succeeded)
{
return Unauthorized();
}
var signingKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("SuperTopSecretKeyThatYouDoNotGiveOutEver!"));
var signingCredentials = new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256);
var jwt = new JwtSecurityToken(signingCredentials: signingCredentials);
var handler = new JwtSecurityTokenHandler();
var token = handler.WriteToken(jwt);
return new OkObjectResult(token);
}
И мой клиент (консольное приложение) настроен на кэширование этого токена и его использование в будущих вызовах сигнализатора как таковое:
Получите токен:
_client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", Convert.ToBase64String(encoding.GetBytes($"{userName}:{password}")));
var response = await _client.SendAsync(request); // this goes to the login action posted above
_token = await response.Content.ReadAsStringAsync();
...
_hubConnection = new HubConnectionBuilder()
.WithUrl(new Uri(_baseAddress, "chat"),
options => { options.AccessTokenProvider = () => Task.FromResult(_token); }) // send the cached token back with every request
.Build();
// here is where the error occurs. 401 unauthorized comes back from this call.
await _hubConnection.StartAsync();
Спасибо @Darem, но, к сожалению, у меня уже есть именно это в моей конфигурации выше.
Ответы 1
Решено.
Проблема заключалась в том, что я переопределял обработчик OnMessageReceived для JwtBearerHandler, а затем сам читал входящий токен... но токен, который я передал, включал префикс Bearer, который при анализе вышеуказанным обработчиком не соответствовал известному токену. для существующего пользователя.
Просто удалив мое переопределение OnMessageReceived и позволив стандартной реализации AspNetCore JwtBearerHandler выполнить свою работу, можно было правильно синтаксический анализ токенов.
Для будущих людей, которые попадут сюда, если вы будете следовать текущей инструкции signalr с app.UseEndpoints, вы получите 401. Решением было использовать app.UseSignalR на данный момент, даже если оно помечено как устаревшее.
У меня это сработало и с app.UseSignalR, но не повезло с UseEndpoints. Как человек, который потратил пару часов на эту проблему, я хотел бы отметить, что вызов UseSignalR должен быть после вызовов app.UseFileServer(); приложение.UseRouting(); и app.UseAuthorization();
Я сделал точно так же, выдернул токен из заголовка auth и присвоил context.token. Провел дни, пытаясь решить проблему, а затем пришел сюда. СПАСИБО
может это поможет stackoverflow.com/questions/46765756/…