我用无服务器选项创建了一个天蓝色信号器服务。 协商功能能够生成带有“ x-ms-client-principal-name”的JWT令牌,并且建立连接不会出现问题。 我已经提到了https://docs.microsoft.com/en-us/azure/azure-signalr/signalr-concept-serverless-development-config,并且该函数能够将事件发送到特定的用户ID /组。 我被要求保护客户端-服务器通信的安全。 我是安全领域的新手。我引用了https://docs.microsoft.com/en-us/azure/azure-signalr/signalr-tutorial-authenticate-azure-functions这个链接,但我无法配置给定的示例应用程序,也无法理解该概念。
我的情况是:我有一个Client .net Web应用程序,用户可以在其中使用组织帐户以及google登录。 此应用使用用户ID和设备ID(它希望通过signalR函数接收事件)调用天蓝色信号协商函数。 Signalr函数从azure eventhub触发器获取事件,并将其发送到组。
请帮助我提高此应用程序的安全性。就安全性而言,从协商功能收到的令牌是否足够? 任何未经授权的用户都可以使用通过协商获取的jwt令牌连接到我的azure subscriptionToGroup / sendEvent函数吗? 我正在尝试使用https://github.com/Azure/azure-functions-signalrservice-extension,其中idToken和claimTypeList是附加参数以及x-ms-client-principal-name(userid)。但是我不能从安全性上理解这一点。 此示例中的客户端是带有auth.js的index.html。但是,如何保证它的安全性是无法理解的。 请帮助并指导我,以获取正确的设置和代码。