连接到 ASP.NET Core SignalR 集线器时如何指定客户端证书

我有一个 .NET SignalR 客户端（在 www.domain1.com 下托管的 ASP.NET Web API 2 项目中），它连接到托管在 .NET Core API 中的 SignalR 集线器项目（www.domain2.com）。这两个 Web 项目都托管在 IIS 下。 API 设置为使用 JWT Bearer 作为其默认身份验证方案。 .NET 客户端可以通过指定 AccessTokenProvider 委托成功通过集线器进行身份验证，该委托实质上调用 API 上的登录方法并返回 JWT 令牌。我想通过使用 ClientCertificates.Add 对象上的 HttpConnectionOptions 向 SignalR 请求添加客户端证书来添加额外的安全层，但无论我尝试什么，我都无法访问证书接收端（API）。从存储中检索的证书是完整证书 (.pfx)。 API 设置为使用 CORS，我允许 www.domain1.com。

我尝试过的事情：

• 通过 .NET Core API 端的 HttpContext.Connection.ClientCertificate 访问证书 - 这始终返回 null。
• 在客户端使用带有证书的 WebRequestHandler 调用 .NET Core API，只是为了查看这是否确实通过证书发送 - 这也在接收端返回 null。
• 使用 Configure certificate authentication in ASP.NET Core 中概述的步骤配置 API 以使用证书
• 在 IIS 中为 API 站点指定“需要 SSL”选项

难道是因为我试图跨域发送证书？为此使用证书是否值得在安全方面做一些事情？任何帮助将不胜感激。

这是 SignalR 客户端设置代码：

private static HubConnection CreateHubConnection()
 {
        var certStore = new X509Store(StoreName.My,StoreLocation.LocalMachine);
        certStore.Open(OpenFlags.ReadOnly | OpenFlags.OpenExistingOnly);
        var certificateCollection = certStore.Certificates.Find(X509FindType.FindByThumbprint,"mythumbprint",false);
        X509Certificate2 cert = certificateCollection[0];

        _hubConnection = new HubConnectionBuilder()
            .WithUrl($"{_url}/signalR",(HttpConnectionOptions options) =>
            {
                // This is what I am trying to get to work
                options.ClientCertificates.Add(cert);

                // This works fine,but I'd like to add an extra layer of security by using a certificate
                options.AccessTokenProvider = async () => await TryGetAccessTokenAsync();
            })
            .ConfigureLogging(builder => builder.AddDebug())
            .WithAutomaticReconnect(new MyHubClientRetryPolicy())
            .Build();
} 

private static async Task<string> TryGetAccessTokenAsync()
{
        string signalRLoginDetails = JsonConvert.SerializeObject(new { Username = "username",Password = "password" });

        var content = new StringContent(signalRLoginDetails,Encoding.UTF8,MimeMediaTypeNames.Json);

        HttpResponseMessage response = await _httpClient.PostAsync(_loginUrl,content);
        response.EnsureSuccessStatusCode();

        string token = await response.Content.ReadAsStringAsync();

        return token;
   }

我的 API 是这样设置的：

public void ConfigureServices(IServiceCollection services)
    {
        // Other code omitted for brevity
        var key = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(appSettings.Secret));
        services
            .AddAuthentication(options =>
            {
                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            })
            .AddJwtBearer(options =>
            {
                options.SaveToken = true;
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    ValidIssuer = appSettings.Issuer,ValidAudience = appSettings.Audience,ValidateIssuer = true,ValidateAudience = true,ValidateLifetime = true,ValidateIssuerSigningKey = true,IssuerSigningKey = key,ClockSkew = TimeSpan.FromSeconds(5),};

                options.Events = new JwtBearerEvents
                {
                    OnMessageReceived = context =>
                    {
                        var accessToken = context.Request.Query["access_token"];

                        var path = context.HttpContext.Request.Path;
                        if (!string.IsNullOrWhiteSpace(accessToken) && path.StartsWithSegments(Constants.SignalR.Endpoint))
                        {
                            context.Token = accessToken;
                        }
                        return Task.CompletedTask;
                    }
                };
            });
    }

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）