netty实现websocket握手前鉴权和针对广播的优化

于 2024-08-29 21:27:04 发布
阅读量940 收藏 20
点赞数 12
文章标签: websocket 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nuan_Feng/article/details/141688942
版权

1、netty实现websocket握手前鉴权和针对广播的优化

1.1、背景

现在用netty实现了websocket,决定在建立连接前添加鉴权。首先想到的就是在
WebSocketServerProtocolHandler后面添加一个HandshakeHandler鉴权,这有一个问题。就是执行到HandshakeHandler时,服务端已经向客户端发送了101,同意握手了。这个时候如果鉴权不通过,相当于多响应了一次服务端。

在这里插入图片描述

1.2、解决方案

那最好的执行时机是在握手前就执行鉴权,鉴权通过则放过,实现代码如下:

@Slf4j
public class WsHandler extends SimpleChannelInboundHandler<WebSocketFrame> {
    private static final TextWebSocketFrame HEARTBEAT_SEQUENCE =
            new TextWebSocketFrame(Unpooled.unreleasableBuffer(Unpooled.copiedBuffer("pong", CharsetUtil.UTF_8)));
            
    @Override
    public void handlerAdded(ChannelHandlerContext ctx) throws Exception {
        log.info("------------执行初始化操作---------------");
        // 在这里执行初始化操作
        // 例如设置状态或注册定时器
        ChannelPipeline cp = ctx.pipeline();
        if (cp.get(HandshakeHandler.class) == null) {

            WebSocketServerProtocolHandler webSocketServerProtocolHandler = cp.get(WebSocketServerProtocolHandler.class);
            Field filed = webSocketServerProtocolHandler.getClass().getDeclaredField("serverConfig");
            ReflectionUtils.makeAccessible(filed);
            WebSocketServerProtocolConfig serverConfig = (WebSocketServerProtocolConfig)ReflectionUtils.getField(filed, webSocketServerProtocolHandler);

            cp.addBefore("io.netty.handler.codec.http.websocketx.WebSocketServerProtocolHandshakeHandler",  HandshakeHandler.class.getName(),
                    new HandshakeHandler(serverConfig));
        }
    }
    
    ......其他执行......
}

@Slf4j
public class HandshakeHandler extends ChannelInboundHandlerAdapter {
    private final WebSocketServerProtocolConfig serverConfig;

    public HandshakeHandler(WebSocketServerProtocolConfig serverConfig) {
        this.serverConfig = checkNotNull(serverConfig, "serverConfig");
    }

    @Override
    public void handlerAdded(ChannelHandlerContext ctx) {

    }

    @Override
    public void channelRead(final ChannelHandlerContext ctx, Object msg) throws Exception {
        final FullHttpRequest req = (FullHttpRequest) msg;
        if (!isWebSocketPath(req)) {
            ctx.fireChannelRead(msg);
            return;
        }

        if (!GET.equals(req.method())) {
            sendHttpResponse(ctx, req, new DefaultFullHttpResponse(HTTP_1_1, FORBIDDEN, ctx.alloc().buffer(0)));
            return;
        }

        // 实现鉴权
        if (鉴权不通过){
            sendNoAuthHttpResponse(ctx);
            return;
        }

        ctx.pipeline().remove(this);
        ctx.fireChannelRead(msg);
    }


    private boolean isWebSocketPath(FullHttpRequest req) {
        String websocketPath = serverConfig.websocketPath();
        String uri = req.uri();
        boolean checkStartUri = uri.startsWith(websocketPath);
        boolean checkNextUri = "/".equals(websocketPath) || checkNextUri(uri, websocketPath);
        return serverConfig.checkStartsWith() ? (checkStartUri && checkNextUri) : uri.equals(websocketPath);
    }

    private boolean checkNextUri(String uri, String websocketPath) {
        int len = websocketPath.length();
        if (uri.length() > len) {
            char nextUri = uri.charAt(len);
            return nextUri == '/' || nextUri == '?';
        }
        return true;
    }

    private static void sendNoAuthHttpResponse(ChannelHandlerContext ctx) {
        HttpResponse response = new DefaultHttpResponse(HttpVersion.HTTP_1_1, HttpResponseStatus.UNAUTHORIZED);
        response.headers().set(HttpHeaderNames.WWW_AUTHENTICATE, "Basic realm=\"webconsole\"");
        response.headers().set(HttpHeaderNames.CONTENT_TYPE, "text/plain");
        response.headers().set(HttpHeaderNames.CONTENT_LENGTH, 0);
        ctx.writeAndFlush(response);
        ctx.channel().close();
    }

    private static void sendHttpResponse(ChannelHandlerContext ctx, HttpRequest req, HttpResponse res) {
        ChannelFuture f = ctx.channel().writeAndFlush(res);
        if (!isKeepAlive(req) || res.status().code() != 200) {
            f.addListener(ChannelFutureListener.CLOSE);
        }
    }

}

咱们来看看WsHandler#handlerAdded,

这个代码就是在向pipeline添加handler时,在WebSocketServerProtocolHandshakeHandler之前添加一个HandshakeHandler。

这个WebSocketServerProtocolHandler什么时候来的了?我们明明没有注册进去呀?大家可以看看WebSocketServerProtocolHandler这个handler,这个handler添加pipeline时会添加。这个类就是用来处理握手协议的,咱们在这个handler前添加鉴权的handler,完美无缝衔接。

在这里插入图片描述

接着咱们来看看这个类HandshakeHandler,这个类很简单就是鉴权不通过响应401给前端,然后拒绝协议升级。如果鉴权通过则将该handler从pipeline剔除,因为鉴权只存在握手前,握手前鉴权通过,就可以收发websocket协议了,没必要鉴权这些数据了。

2、针对广播的优化

我们有一个SessionManager记录了所有存活的channel,在执行广播的时候将所有的channel进行分片,然后异步线程针对分片的每个channel循环发送消息。

在这里插入图片描述

我们发送消息首先想到的是new TextWebSocketFrame(content),然后writeAndFlush发送。创建的TextWebSocketFrame发送之后会执行release方法将refCnt置0,然后内存就标记可以被回收了。

我们循环到第二个channel发送该对象就会抛异常,因为对象已经被释放了。那要想解决这个问题,增加引用次数。

现在我们在发送第一个channel发送成功,后续所有channel发送都是成功,但是报文都是“”。那这是为啥了?

因为TextWebSocketFrame对象内部把持一个byteBuf,发送一次消息后readIndex就到终止读的位置了。第二次就读不出任何数据了,就读到""发送出去了。那怎么解决了?

我们可以在创建TextWebSocketFrame对象时,执行payload.content().markReaderIndex()标识标记当前读的索引位置。然后再发送writeAndFlush后,payload.content().resetReaderIndex()重置读的位置。可是现在发现循环发送消息时会断开连接,因为writeAndFlush看起来是立刻发送消息,以为是同步发送,其实他是异步发送消息。刚消息发送到一半,你重置了读索引,就导致读取数据不对,不符合websocket协议,就断开链接了。

解决的最终办法就是②和③,我发送一个副本,这样副本的读写索引都会重新生成一个,但是其持有的内存不会重新分配。紧接着假设该channel不存活了,我就手动执行ReferenceCountUtil.release(payload)释放状态。如果writeAndFlush内部发送失败也会主动执行ReferenceCountUtil#release释放内存的,所以问题没有。

3、心跳优化

心跳可以直接在websocket协议级别,收到ping后返回pong。什么叫协议级别了?就是websocket建立连接后,会通过websocket的协议发送报文。当opcode是09表示ping帧,10是pong帧。大家可以点击下
这个是我基于netty实现的my-netty,然后基于my-netty实现了websocket,socks5,http,dns,tcp协议
在这里插入图片描述

我们可以利用ws协议级别发送pingpong,这样就不需要明文设置ping和pong字符串发送,极大减少内存,增加发送速率。以下是netty对协议级别的支持。

if (webSocketFrame instanceof PingWebSocketFrame) {
            ctx.writeAndFlush(new PongWebSocketFrame());
        }

但是浏览器通过js很难去实现,所以也有需要明文发送pingpong的场景,下面是对这种场景的支持。
由于心跳数据是固定的,所以创建一个静态变量。

 private static final TextWebSocketFrame HEARTBEAT_SEQUENCE =
            new TextWebSocketFrame(Unpooled.unreleasableBuffer(Unpooled.copiedBuffer("pong", CharsetUtil.UTF_8)));

Unpooled.unreleasableBuffer表示这个哪怕writeAndFlush后执行release时,也不会释放内存,也就是refCnt不会减一成0,导致内存被释放。注意这个方法由于不会释放内存,所以建议只在固定不变的内容,且内容较少的场景下使用,避免内存泄漏的风险。
接着发送心跳报文,这里会创建一个副本。为什么创建一个副本不直接发送了?是因为直接发送虽然引用次数不会减少,不会释放内存,但是readIndex会读到writeIndex。导致第二次发送消息时只能读取到""。而又是多线程的场景,通过markReaderIndex和resetReaderIndex会导致并发问题。所以创建一个副本就是最好的,虽然创建了一个副本,但是共享的还是同一片内存。引用次数和读写索引位置也是一样的。

if (isPing()){
                ctx.writeAndFlush(HEARTBEAT_SEQUENCE.duplicate());
                return;
            }

长时间没收到心跳则断开链接。

@Override
public void userEventTriggered(ChannelHandlerContext ctx, Object evt) throws Exception {
    if (evt instanceof IdleStateEvent) {
        if (IdleState.READER_IDLE == ((IdleStateEvent) evt).state()) {
            // 心跳没有回应,则主动关闭连接。
            String channelId = ctx.channel().id().asLongText();
            ctx.close();
        }
    } else {
        super.userEventTriggered(ctx, evt);
    }
}
Nuan_Feng
关注
  • 12
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
netty tcp(ws)鉴权2个方案
weixin_30797199的博客
09-17 1754
1 增加一个AuthHandler,顶在pipeline最鉴权不通过,close channel,通过,remove掉这个鉴权channel 1.5 no removeAuthHandler   channel.attribute.get     null - 是否鉴权请求       否 close       是 鉴权     not...
springboot项目中使用netty+websocket 实现消息推送(带校验用户是否登陆功能)
yymagicer的博客
08-12 6725
maven引入包: <!-- websocket --> <dependency> <groupId>io.netty</groupId> <artifactId>netty-all</artifactId> <version>4.1.36.Final</versio...
netty-websocket 鉴权token及统一请求和响应头(鉴权控制器)
weixin_43861630的博客
03-09 5220
netty websocket自定义鉴权控制器(握手) ,自定义协议头 Sec-WebSocket-Protocol 增加Sec-WebSocket-Protocol总是连接不上
Springboot+netty+websocket 实现单聊群聊及用户鉴权
Cocoxzq000的博客
04-05 2884
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录言一、配置二、Netty服务1. WsServer构建2. ChannelInitializer构建3. 自定义消息处理器4. 全局用户Session管理5. 客户端与服务端消息实体6. 消息构建工具类7. 鉴权处理器三, 整合spring 言 技术栈: SpringBoot+netty+websocket+mybatis-plus 一、配置 Maven <parent> <groupId.
netty-websocket扩展协议及token鉴权补充_netty-socketio 鉴权
2401_84166567的博客
04-15 1207
为channel添加属性 将userid设置为属性,避免客户端特殊情况退出时获取不到userid。(img-GgUXwz7y-1713146988829)]log.info(“与客户端断开连接,通道关闭!// 从channelGroup通道组移除。log.info(“断开的用户id为”);* @param ctx 上下文。* @param msg 消息。* @param msg 消息。
基于Springboot用Netty实现WebSocket及用户身份校验
linbeiwo的博客
07-21 2550
基于Springboot用Netty实现WebSocket及用户身份校验
netty-websocket.zip
08-12
标题中的"Netty-WebSocket.zip"表明这是一个与Netty框架和WebSocket协议相关的项目或示例代码。Netty是一个高性能、异步事件驱动的网络应用程序框架,用于快速开发可维护的高性能协议服务器和客户端。而WebSocket是...
netty+websocket实现心跳和断线重连
03-06
在本文中,我们将深入探讨如何利用 NettyWebSocket 实现心跳检测和断线重连机制。 首先,我们需要理解 WebSocket 协议。WebSocket 是一种在单个 TCP 连接上进行全双工通信的协议,它为客户端和服务器提供了低...
Spring+Netty+WebSocket实例
12-06
在现代Web开发中,实时通信已经成为一个不可或缺的功能,Spring、NettyWebSocket的结合为构建高性能、低延迟的实时应用提供了强大的解决方案。本实例将详细探讨如何利用这三种技术进行集成,实现高效的双向通信。 ...
Spring Boot 整合 Netty + WebSocket 实时消息推送
03-14
8. **错误处理和异常捕获**:在WebSocketNetty实现中,需要妥善处理各种可能出现的错误和异常,例如网络中断、消息解析错误等,以保证系统的稳定性和健壮性。 综上所述,Spring Boot与Netty的结合使用,能够...
netty+websocket 客服聊天室
12-16
实现了用户与客服功能,客服服务队列,服务器排队 详见: http://blog.csdn.net/crazyzxljing0621/article/details/53690505 系统概要 1. 用户通过websocketnetty创建通讯 2. 用户链接到服务器队列中 3. 队列通过轮训机制判定netty是否有可以服务的客服 4. 如果有则将队列中的用户channel转给客服进行点对点通讯 5. 队列有自己的最大容载量 6. 每个客服可以同时服务N个用户 7. 没有空闲客服的时候用户们只能在队列中慢慢排队 8. 队列状态及实时位置由队列向队列内用户推送 9. 当有空闲位置的时候,轮训机制会将队列中首位用户放到netty中进行与客服的通讯挂钩 10. 其实对于服务器队列可以抽出来做到一个单独的项目中,用户先访问队列项目,队列项目再将用户channel发送给处理消息的netty项目
springboot+netty+websocket+redis
03-08
结合NettyWebSocket和Redis,我们可以构建一个高效、可扩展的分布式聊天系统。本文将详细介绍如何利用这些技术组合来实现一个简单的聊天功能。 ### 1. Spring Boot简介 Spring Boot是Spring框架的一个简化版本,...
netty+websocket模式下token身份验证遇到的问题
alwaysRise的博客
10-27 2372
netty+websocket下pipeline中handler无法传递的问题在ChannelPipeline中责任链的传递 在ChannelPipeline中责任链的传递 ChannelPipeline pipeline = socketChannel.pipeline(); //websocket协议本身是基于http协议的,所以这边也要使用http解编码器 pipeline.addLast(new HttpServerCodec()); //以块的方式来写的处理器 pipeline.addLast(
spring cloud gateway中对websocket进行动态鉴权
zzk_01的博客
07-19 1634
微服务中对webosocket进行动态鉴权
【分布式websocketnetty异步鉴权,AsyncHttpClient异步,以及为什么不能使用openfeign去调用http接口
qq_21561833的博客
03-20 1291
在IM聊天系统中,鉴权是一个关键步骤,它确保了系统的安全性。鉴权的位置取决于系统的设计和鉴权逻辑的复杂性。在Netty中,鉴权可以在多个地方进行,但最常见的是在连接建立时(channelActive)和处理接收到的消息时(channelRead或channelRead0)。每种方式都有其适用场景。以及netty为什么不能使用openfeign去调用http接口目已经写的文章有。并且有对应视频版本。git项目地址 【IM即时通信系统(企聊聊)】点击可跳转。
Netty实现websocket实现url传参的两种方式(源码分析)
qq_64680177的博客
11-24 2743
通过源码我们可以看出如果checkStartWith设为false的话,则必须url和websocketPath相等,否则会返回false。如果设置为true的话则只需要websocketPath是具体的url的缀就行。当最后返回false时,连接就无法建立。我们看源码这是一个处理类WebSocketServerProtocolHandshakeHandler,这是WebSocketServerProtocolHandler这个处理类再创建的时候给加pipelien()
基于Netty实现安全认证的WebSocket(wss)服务端
最新发布
u013771019的专栏
05-27 1743
4.1生成mystore.jks后,不导入证书,直接启动服务端使用;选择证书存储为【受信任的根证书颁发机构】,完成即可。】中基本一样,只是把服务端地址的协议头修改为wss。或者导入证书后不手动信任,客户端进行连接时候,会报错。启动服务端,然后启动客户端,连接和接发数据都正常。双机上面生成的证书文件mystore.cer,4.2 客户端连接服务端的地中,协议头还是ws。可以看到证书此时不受信任,点击【安装证书】JavaScript客户端代码,也是和 【再次双击原证书,可以看到证书已经受信任了。
netty-websocket扩展协议及token鉴权补充_netty-socketio 鉴权(1)
2401_84182392的博客
04-12 579
为channel添加属性 将userid设置为属性,避免客户端特殊情况退出时获取不到userid。* 为channel添加属性 将userid设置为属性,避免客户端特殊情况退出时获取不到userid。// //http处理器 用来握手和执行进一步操作。// 从channelGroup通道组移除。log.info(“断开的用户id为”);// log.info(“有新的连接”);// //netty 自带的http解码器。//收到信息后,群发给所有channel。// //http聚合器。
WebSocket 鉴权策略与技巧详解
LiamHong_的博客
11-24 2858
通过本文的介绍,你应该对WebSocket鉴权有了更清晰的认识。不同的鉴权方式各有优劣,你可以根据具体情况选择最适合自己项目的方式。在保障通信安全的同时,也能提供更好的用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值