asp.net - 从signalr js客户端到集线器功能传递连接 token 是安全的或hacky

Question

我读了这篇文章 http://www.asp.net/signalr/overview/security/introduction-to-security#connectiontoken

JS客户端

$.connection.hub.qs = { "token" : tokenValue };
$.connection.hub.start().done(function() { /* ... */ });

.NET 客户端

var connection = new HubConnection("http://foo/",
                                   new Dictionary<string, string>
                                   {
                                       { "token", tokenValue }
                                   });

在 Hub 内，您可以通过 Context 访问社区名称:

Context.QueryString["token"]

在 .NET 客户端上设置 header

var connection = new HubConnection("http://foo/");
connection.Headers.Add("token", tokenValue);

我注意到我们可以将一些 token 值从客户端传递给集线器函数作为查询字符串......如果我将任何内容作为查询字符串传递是不安全的。所以告诉我以安全的方式将 token 值从客户端传递到集线器功能的最佳方法，因此没有人可以破解/更改或重用该 token 值。

一个人说 SignalR uses encryption and a digital signature to protect the connection token. .
所以请告诉我信号器首先加密 token 值然后从客户端传递到集线器是真的吗？

建议我如何以安全的方式将 token 值传递给集线器。谢谢

Answer 1

您可以像这样在 javascript 客户端中使用 header ，例如:

$.signalR.ajaxDefaults.headers = { Authorization: "Bearer " + yourToken };

现在不是 hacky 并且是一个全局设置，您可以在启动或成功的身份验证响应时进行一次!享受!

现在只有当我能找到一种方法在每个请求的基础上覆盖它，这样我才能让用户模拟沙箱为我的管理角色的用户工作......