Hero Image
[SignalR] Websocket 即時聊天程式(三) - 後端 Token 認證

安裝套件 要進行 Token 的認證,需要先安裝 Microsoft.AspNetCore.Authentication.JwtBearer 套件: dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer 註冊認證服務 新增一個檔案 DependencyInjection.cs,在當中製作 IServiceCollection 的擴充方法來自定義 JWT token 認證服務, 在裡面設置 Token 的認證規則、使用者識別碼對應、使用者群組對應, 而 SignalR 抓取使用者識別碼 (UserIdentifier) 的介面方法是 IUserIdProvider.GetUserId, 因此我們需要另外新增一個實作 IUserProvider 的類別注入服務容器給 SignalR 使用 ,該檔案程式碼如下: using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.AspNetCore.SignalR; using Microsoft.Extensions.Configuration; using Microsoft.Extensions.DependencyInjection; using Microsoft.IdentityModel.Tokens; using System.Diagnostics.CodeAnalysis; using System.IdentityModel.Tokens.Jwt; using System.Linq; using System.Threading.Tasks; namespace SignalR.Extensions.DependencyInjection { public static class MyAddConfig { public static IServiceCollection AddMyJWTAuth( [NotNull] this IServiceCollection services, IConfiguration config ) { services.AddAuthentication(options => { // Identity 預設是使用 Cookie authentication,必須手動設置為 JWT Bearer Auth: options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; }).AddJwtBearer(options => { // [注意]先解除 MapInboundClaims ,否則會因為套件中某些為向前相容而保留的 legacy code 使得 RoleClaimType 無法生效 // https://github.com/AzureAD/azure-activedirectory-identitymodel-extensions-for-dotnet/issues/1214 if (options.SecurityTokenValidators.FirstOrDefault() is JwtSecurityTokenHandler jwtSecurityTokenHandler) jwtSecurityTokenHandler.MapInboundClaims = false; // 設置 Token 在授權後是否要儲存於 AuthenticationProperties options.SaveToken = true; // 設置各認證參數 options.TokenValidationParameters = new TokenValidationParameters { NameClaimType = "userId", // 設置 Http 請求的 User.Identity.Name、Hub 中 UserIdentifier 取值的 Claim 是 userId RoleClaimType = "roles", // 設置使用者的腳色從 type="roles" 的 claims 對應 ValidateLifetime = true, // 認證 Token 有效期間 ValidateIssuerSigningKey = true, //驗證 token 中的 key IssuerSigningKey = new SymmetricSecurityKey(System.Text.Encoding.UTF8.GetBytes(config.GetValue<string>("JWT:SignKey"))), // SignKey ValidateIssuer = false, // 不驗證簽發者 ValidateAudience = false // 不驗證 Audience (Token接收方) }; options.Events = new JwtBearerEvents { // 設定當 OnMessageReceived 事件被觸發時,獲取認證用的 access_token OnMessageReceived = context => { // 不同於標準夾帶於 header 的 http token,signalr 會透過網址參數發送 access token // ASP .NET Core 預設會將請求的 URL 皆做成 Log 紀錄,如果不想要網址列的 Token 被 Log 記錄下來必須參考 // https://docs.microsoft.com/aspnet/core/signalr/security#access-token-logging string accessToken = context.Request.Query["access_token"]; // 檢查請求路徑是否為 chathub var path = context.HttpContext.Request.Path; if (!string.IsNullOrEmpty(accessToken) && (path.StartsWithSegments("/chathub"))) { // 把 token 丟進 MessageReceiveContext 當中 context.Token = accessToken; } return Task.CompletedTask; } }; }); services.AddSingleton<IUserIdProvider, NameUserIdProvider>(); // 如果是使用 email claim 作為 user identifier 用下面這行並實作 EmailBasedUserIdProvider // services.AddSingleton<IUserIdProvider, EmailBasedUserIdProvider>(); // NameUserIdProvider 和 EmailBasedUserIdProvider 無法同時使用!! return services; } } // 實作 SignalR 抓取使用者 Identity 的方法 IUserIdProvider.GetUserId // 提供服務容器注入給 SignalR 使用 public class NameUserIdProvider : IUserIdProvider { public string GetUserId(HubConnectionContext connection) { // 認證設定時設置好 NameClaimType,這裡直接回傳 User.Identity.Name 即可 return connection.User?.Identity?.Name; } } } 然後在 Startup.cs 當中添加對該類別的引用:

Friday, November 20, 2020 Read
Hero Image
[SignalR] Websocket 即時聊天程式(四) - 前端登入頁面

安裝 axios SignalR 連線驗證的方式是將 token 夾帶於網址參數中發送到伺服器,因此進行 websocket 連線前我們透過 ajax 向伺服器發送帳號密碼索取登入的 Token,我們安裝方便使用 ajax 的 axios 函式庫: axios 一樣可以透過 LibMan 安裝~ libman install axios@latest \ -p unpkg \ -d wwwroot/js/axios \ --files dist/axios.min.js 在 wwwRoot/index.html 添加對 axios 的引用: <script src="./lib/axios/dist/axios.min.js"></script> 簡易登入UI 雖然是功能原型,為了讓做出來的頁面不要太粗暴,拿 bootstrap 的 css 來套用一下 UI: libman install [email protected] \ -p unpkg \ -d wwwroot/lib/bootstrap \ --files dist/js/bootstrap.min.js \ --files dist/css/bootstrap.min.css 在 wwwRoot/index.html 添加對 bootstrap css 的引用: <script src="./lib/bootstrap/dist/js/bootstrap.min.js"></script> 現在將 wwwRoot/index.html 修改如下:

Tuesday, November 10, 2020 Read
Hero Image
[SignalR] Websocket 即時聊天程式(二) - 後端 Token 授權

SignalR驗證方式 SignalR 的授權可以選擇使用 Cookie 或 Bearer Token: Cookie: 驗證方法與一般網頁別無二致,較容易實作但缺點是只能用於瀏覽器(browser-specific)。 Bearer Token 可通用於網頁和 App (或提供任何應用程式),使用 Token 做登入能夠讓應用程式更容易實作其他使用者端,如果有其他的伺服器簽發 Token,更容易整合至單一登入(Single Sign-On),也是官方建議使用的方式,以下假設簽發 Token 與 SignalR 伺服器為同一台進行實作。 將 Token 驗證實作至伺服器之前,讓我們先練習實作一支簽發 Token 的 API。 以 Option pattern 取得 JWT 設定 這裡練習 Option pattern,以獲取 appsetting.json 當中 JWT 相關設定的強型別支援: appsetting.json 將 JWT 相關的設定寫到 appsetting.json 當中: { "Logging": { "LogLevel": { "Default": "Information", "Microsoft": "Warning", "Microsoft.Hosting.Lifetime": "Information" } }, "JWT": { "Issuer": "Naxo", "Expires": "1440", // 憑證有效分鐘數 "SignKey": "myNameIsTigernaxo,ThisIsMyPersonalBlog" // 設定簽發/解密憑證的對稱式加密金鑰 }, "AllowedHosts": "*" }

Saturday, November 7, 2020 Read
Hero Image
[SignalR] Websocket 即時聊天程式(一) - 建立專案

這個系列會官方文件為主,保留必要的部分,並視情況修改部份程式、添加說明文字。 建立 SignalR 專案 這個範例設定用靜態 html 做前端,這樣之後要做前後端分離也更容易一些,之後會用到 web api 請求登入 Token,所以起始一個 web api 專案: # 建立專案 dotnet new webapi -o SignalR # 以 VS Code 打開專案 code -r signalr 建立 SignalR 中樞 在.NET Core 3.1 當中使用 SignalR 伺服器端不再需要安裝額外的套件,直接將 SignalR 注入服務容器就能使用, SignalR 的 Hub 中文名稱就叫做中樞,在專案中新增資料夾 Hubs 用來專門存放 Hub 實作類別,並在 Hubs 中新增檔案 ChatHub.cs,內容如下: using Microsoft.AspNetCore.SignalR; using System.Threading.Tasks; namespace SignalR.Hubs { // 這就是所謂的 SignalR 中樞 public class ChatHub : Hub { // 這是提供 Client (js)端呼叫的方法,後面是這個方法接受的參數 public async Task SendMessage(string user, string message) { // 針對每個以連線的客戶端呼叫 ReceiceMassage 方法,並傳送參數 user、message await Clients.All.SendAsync("ReceiveMessage", user, message); } } } 設定 Startup.cs 依照官網的設定,在 Startup.cs 當中新增第13, 30,42-43 ,52 行:

Tuesday, November 3, 2020 Read