SignalR Hub 不能只靠 [Authorize],因为它仅在连接建立时校验一次,后续方法调用不自动授权;必须在每个敏感方法中手动校验 Context.User 的身份、角色或声明。
SignalR Hub 为什么不能只靠 [Authorize]?
ASP.NET Core SignalR 的 [Authorize] 特性确实能拦截未登录连接,但它只在连接建立初期(OnConnectedAsync 前)校验一次。一旦连接成功,后续所有 Hub 方法调用(比如 SendAsync、JoinGroup)**不再自动触发身份验证**——除非你显式检查 Context.User.Identity.IsAuthenticated 或重复调用授权策略。
常见错误现象:UnauthorizedAccessException 没抛出,但用户却能调用本不该访问的 AdminDeleteUser 方法,因为没在方法体内做二次校验。
- Hub 方法不是 MVC Action,不默认走完整授权管道
-
[Authorize(Policy = "AdminOnly")]只作用于连接建立,不绑定到每个方法调用 - 客户端可伪造
HubConnection并复用已认证的 token,绕过初始校验
如何在 Hub 方法中强制校验用户权限?
最直接可靠的方式是在每个敏感方法开头手动校验 Context.User,而不是依赖特性。这看似啰嗦,但能精准控制每一步。
示例:ChatHub.cs 中限制仅管理员可踢人:
public async Task KickUser(string userId)
{
if (!Context.User.Identity.IsAuthenticated ||
!Context.User.IsInRole("Admin"))
{
throw new InvalidOperationException("Access denied.");
}
await Clients.User(userId).SendAsync("Kicked");
}- 用
Context.User.Claims做细粒度判断(如user.HasClaim(c => c.Type == "Permission" && c.Value == "ManageChat")) - 避免只查
IsAuthenticated,要结合角色或声明(Claims),否则无法区分普通用户和管理员 - 不要在
OnConnectedAsync里 throw 异常来“拦截”,它会导致连接失败但客户端无明确提示;应让连接建立,再在业务方法中拒绝
Token 传递与验证:前端怎么带凭证?后端怎么验?
SignalR 默认不自动携带 Cookie 或 Bearer Token,必须显式配置。常见错误是前端没传 token,后端却指望 Authorization header 自动生效。
前端(JS)连接时传 token:
const connection = new HubConnectionBuilder()
.withUrl("/chat", {
accessTokenFactory: () => localStorage.getItem("auth_token")
})
.build();后端需启用 JWT Bearer 验证(而非仅 Cookie):
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options => {
options.TokenValidationParameters = new TokenValidationParameters { /* ... */ };
});- 确保
AddAuthentication在AddSignalR之前注册 - 若用 Cookie 认证,前端必须启用
withCredentials: true,且后端 CORS 配置要允许凭据:AllowCredentials() - SignalR 连接 URL(如
/chat)必须匹配认证 scheme 的Events.OnMessageReceived触发路径,否则 token 不会被解析
Hub 连接级保护:如何拒绝非法连接源头?
有些场景需要更早拦截,比如只允许来自特定域名的页面建立连接,或限制 IP 段。这时不能只靠 Identity,得在 OnConnectedAsync 里做上下文检查。
示例:检查 Referer 和 User-Agent 防简单爬虫调用:
public override async Task OnConnectedAsync(HubConnectionContext context)
{
var httpContext = context.GetHttpContext();
var referer = httpContext?.Request.Headers["Referer"].ToString();
var userAgent = httpContext?.Request.Headers["User-Agent"].ToString();
<pre class="brush:php;toolbar:false;">if (!referer.StartsWith("https://myapp.com/") ||
string.IsNullOrEmpty(userAgent) ||
userAgent.Contains("curl") || userAgent.Contains("Postman"))
{
await context.AbortAsync();
return;
}
await base.OnConnectedAsync(context);}
-
context.GetHttpContext()仅在 HTTP 升级连接时可用,WebSocket 模式下可能为 null - IP 限制建议用中间件(
UseWhen+MapHub)统一处理,避免 Hub 内重复逻辑 - 不要在
OnConnectedAsync中 await 耗时操作(如查 DB),会阻塞握手,改用缓存或异步轻量校验
SignalR 的安全边界比表面看起来更薄——连接建立只是起点,每个方法调用都是独立入口。最容易被忽略的是:开发者以为加了 [Authorize] 就万事大吉,结果所有 public Hub 方法都成了裸露的 API 端点。
