Warnung
このドキュメントは、SignalR の最新バージョン用ではありません。 ASP.NET Core SignalR を見てみましょう。
このトピックでは、ハブメソッドにアクセスできるユーザーまたはロールを制限する方法について説明します。
概要
このトピックには、次のセクションが含まれています。
Authorize 属性
SignalR には、ハブまたはメソッドにアクセスできるユーザーまたはロールを指定する Authorize 属性が用意されています。 この属性は、 Microsoft.AspNet.SignalR 名前空間にあります。
Authorize属性は、ハブまたはハブ内の特定のメソッドに適用します。
Authorize属性をハブ クラスに適用すると、指定した承認要件がハブ内のすべてのメソッドに適用されます。 適用できるさまざまな種類の承認要件を次に示します。
Authorize属性がない場合、ハブ上のすべてのパブリック メソッドは、ハブに接続されているクライアントで使用できます。
Web アプリケーションで "Admin" という名前のロールを定義している場合は、そのロールのユーザーのみが次のコードを使用してハブにアクセスできるように指定できます。
[Authorize(Roles = "Admin")]
public class AdminAuthHub : Hub
{
}
または、次に示すように、ハブに、すべてのユーザーが使用できる 1 つのメソッドと、認証されたユーザーのみが使用できる 2 つ目のメソッドが含まれていることを指定できます。
public class SampleHub : Hub
{
public void UnrestrictedSend(string message){ . . . }
[Authorize]
public void AuthenticatedSend(string message){ . . . }
}
次の例では、さまざまな承認シナリオに対処します。
-
[Authorize]– 認証されたユーザーのみ -
[Authorize(Roles = "Admin,Manager")]– 指定されたロールの認証済みユーザーのみ -
[Authorize(Users = "user1,user2")]– 指定されたユーザー名を持つ認証済みユーザーのみ -
[Authorize(RequireOutgoing=false)]– 認証されたユーザーのみがハブを呼び出すことができますが、サーバーからクライアントへの呼び出しは承認によって制限されません。たとえば、特定のユーザーのみがメッセージを送信できるが、他のすべてのユーザーがメッセージを受信できる場合などです。 RequireOutgoing プロパティはハブ全体にのみ適用でき、ハブ内の個々のメソッドには適用できません。 RequireOutgoing が false に設定されていない場合、承認要件を満たすユーザーのみがサーバーから呼び出されます。
すべてのハブに認証を要求する
アプリケーションの起動時に RequireAuthentication メソッドを呼び出すことで、アプリケーション内のすべてのハブとハブ メソッドの認証を要求できます。 この方法は、複数のハブがあり、すべてのハブに認証要件を適用する場合に使用できます。 この方法では、ロール、ユーザー、または送信承認を指定することはできません。 ハブ メソッドへのアクセスを認証されたユーザーに制限するようにのみ指定できます。 ただし、ハブまたはメソッドに Authorize 属性を適用して、追加の要件を指定することはできます。 属性で指定する要件は、認証の基本要件に加えて適用されます。
次の例は、認証されたユーザーにすべてのハブ メソッドを制限する Global.asax ファイルを示しています。
public class Global : HttpApplication
{
void Application_Start(object sender, EventArgs e)
{
RouteTable.Routes.MapHubs();
GlobalHost.HubPipeline.RequireAuthentication();
}
}
SignalR 要求が処理された後に RequireAuthentication() メソッドを呼び出すと、SignalR は InvalidOperationException 例外をスローします。 パイプラインの呼び出し後にモジュールを HubPipeline に追加できないため、この例外がスローされます。 前の例は、最初の要求を処理する前に 1 回実行されるApplication_Start メソッドでRequireAuthentication メソッドを呼び出す方法を示しています。
カスタマイズされた承認
承認の決定方法をカスタマイズする必要がある場合は、 AuthorizeAttribute から派生したクラスを作成し、 UserAuthorized メソッドをオーバーライドできます。 このメソッドは、要求ごとに呼び出され、ユーザーが要求を完了する権限があるかどうかを判断します。 オーバーライドされたメソッドでは、承認シナリオに必要なロジックを指定します。 次の例は、要求ベースの ID を使用して承認を適用する方法を示しています。
[AttributeUsage(AttributeTargets.Class, Inherited = false, AllowMultiple = false)]
public class AuthorizeClaimsAttribute : AuthorizeAttribute
{
protected override bool UserAuthorized(System.Security.Principal.IPrincipal user)
{
if (user == null)
{
throw new ArgumentNullException("user");
}
var principal = (ClaimsPrincipal)user;
if (principal != null)
{
Claim authenticated = principal.FindFirst(ClaimTypes.Authentication);
return authenticated.Value == "true" ? true : false;
}
else
{
return false;
}
}
}
認証情報をクライアントに渡す
クライアントで実行されるコードで認証情報を使用することが必要になる場合があります。 クライアントでメソッドを呼び出すときに必要な情報を渡します。 たとえば、チャット アプリケーション メソッドは、次に示すように、メッセージを投稿するユーザーのユーザー名をパラメーターとして渡すことができます。
public Task SendChatMessage(string message)
{
string name;
var user = Context.User;
if (user.Identity.IsAuthenticated)
{
name = user.Identity.Name;
}
else
{
name = "anonymous";
}
return Clients.All.addMessageToPage(name, message);
}
または、次に示すように、認証情報を表すオブジェクトを作成し、そのオブジェクトをパラメーターとして渡すことができます。
public class SampleHub : Hub
{
public override Task OnConnected()
{
return Clients.All.joined(GetAuthInfo());
}
protected object GetAuthInfo()
{
var user = Context.User;
return new
{
IsAuthenticated = user.Identity.IsAuthenticated,
IsAdmin = user.IsInRole("Admin"),
UserName = user.Identity.Name
};
}
}
悪意のあるユーザーがそのクライアントからの要求を模倣するためにそれを使用する可能性があるため、1 つのクライアントの接続 ID を他のクライアントに渡さないでください。
.NET クライアントの認証オプション
認証されたユーザーに限定されたハブと対話するコンソール アプリなどの .NET クライアントがある場合は、Cookie、接続ヘッダー、または証明書で認証資格情報を渡すことができます。 このセクションの例では、これらのさまざまな方法を使用してユーザーを認証する方法を示します。 完全に機能する SignalR アプリではありません。 SignalR を使用した .NET クライアントの詳細については、「 Hubs API ガイド - .NET クライアント」を参照してください。
クッキー
.NET クライアントが ASP.NET Forms Authentication を使用するハブとやり取りする場合は、接続で認証 Cookie を手動で設定する必要があります。
Cookie は、HubConnection オブジェクトの CookieContainer プロパティに追加します。 次の例は、Web ページから認証 Cookie を取得し、その Cookie を接続に追加するコンソール アプリを示しています。 この例で https://www.contoso.com/RemoteLogin URL は、作成する必要がある Web ページを指しています。 ページは、投稿されたユーザー名とパスワードを取得し、資格情報を使用してユーザーのログインを試みます。
class Program
{
static void Main(string[] args)
{
var connection = new HubConnection("http://www.contoso.com/");
Cookie returnedCookie;
Console.Write("Enter user name: ");
string username = Console.ReadLine();
Console.Write("Enter password: ");
string password = Console.ReadLine();
var authResult = AuthenticateUser(username, password, out returnedCookie);
if (authResult)
{
connection.CookieContainer = new CookieContainer();
connection.CookieContainer.Add(returnedCookie);
Console.WriteLine("Welcome " + username);
}
else
{
Console.WriteLine("Login failed");
}
}
private static bool AuthenticateUser(string user, string password, out Cookie authCookie)
{
var request = WebRequest.Create("https://www.contoso.com/RemoteLogin") as HttpWebRequest;
request.Method = "POST";
request.ContentType = "application/x-www-form-urlencoded";
request.CookieContainer = new CookieContainer();
var authCredentials = "UserName=" + user + "&Password=" + password;
byte[] bytes = System.Text.Encoding.UTF8.GetBytes(authCredentials);
request.ContentLength = bytes.Length;
using (var requestStream = request.GetRequestStream())
{
requestStream.Write(bytes, 0, bytes.Length);
}
using (var response = request.GetResponse() as HttpWebResponse)
{
authCookie = response.Cookies[FormsAuthentication.FormsCookieName];
}
if (authCookie != null)
{
return true;
}
else
{
return false;
}
}
}
コンソール アプリは、次の分離コード ファイルを含む空のページを参照できる www.contoso.com/RemoteLogin に資格情報を投稿します。
using System;
using System.Web.Security;
namespace SignalRWithConsoleChat
{
public partial class RemoteLogin : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string username = Request["UserName"];
string password = Request["Password"];
bool result = Membership.ValidateUser(username, password);
if (result)
{
FormsAuthentication.SetAuthCookie(username, false);
}
}
}
}
Windows 認証
Windows 認証を使用する場合は、 DefaultCredentials プロパティを使用して、現在のユーザーの資格情報を渡すことができます。 接続の資格情報を DefaultCredentials の値に設定します。
class Program
{
static void Main(string[] args)
{
var connection = new HubConnection("http://www.contoso.com/");
connection.Credentials = CredentialCache.DefaultCredentials;
connection.Start().Wait();
}
}
接続ヘッダー
アプリケーションで Cookie を使用していない場合は、接続ヘッダーにユーザー情報を渡すことができます。 たとえば、接続ヘッダーにトークンを渡すことができます。
class Program
{
static void Main(string[] args)
{
var connection = new HubConnection("http://www.contoso.com/");
connection.Headers.Add("myauthtoken", /* token data */);
connection.Start().Wait();
}
}
次に、ハブで、ユーザーのトークンを確認します。
証書
クライアント証明書を渡してユーザーを確認できます。 接続の作成時に証明書を追加します。 次の例は、接続にクライアント証明書を追加する方法のみを示しています。完全なコンソール アプリは表示されません。 証明書を作成するさまざまな方法を提供する X509Certificate クラスを使用します。
class Program
{
static void Main(string[] args)
{
var connection = new HubConnection("http://www.contoso.com/");
connection.AddClientCertificate(X509Certificate.CreateFromCertFile("MyCert.cer"));
connection.Start().Wait();
}
}