springBoot JWT实现websocket的token登录拦截认证

最新推荐文章于 2025-03-14 16:17:44 发布
最新推荐文章于 2025-03-14 16:17:44 发布
阅读量3.5k 收藏 10
点赞数
分类专栏: Java 文章标签: spring boot websocket 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_sword_/article/details/131508314
版权
文章描述了一种实现WebSocket连接需登录认证的方法,通过在前端将token置于Sec-WebSocket-Protocol参数中,后端使用HttpServletRequestWrapper包装请求,从协议头获取并处理token,以完成JWT的登录验证。这样确保了只有经过认证的用户能建立WebSocket连接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

功能:所有关于websocket的请求必须登录,实现websocket需要登录后才可使用,不登录不能建立连接。

后台spring security配置添加websocket的请求可以匿名访问,关于websocket的请求不要认证就可以随意访问,去除匿名访问后,前端在与websocket建立链接无法在请求头里直接加入Authorization token信息,任何关于websocket的请求都无法通过token认证。

解决办法: 使用websocket的Sec-WebSocket-Protocol参数,将token传回后台,后台借助HttpServletRequestWrapper重新生成新的请求信息,实现使用一套登录认证拦截

原理:
HttpServletRequestWrapper 采用装饰者模式对HttpServletRequest进行包装,我们可以通过继承HttpServletRequestWrapper 类去重写getParameterValues,getParameter等方法,实际还是调用HttpServletRequest的相对应方法,但是可以对方法的结果进行改装。

1、前端webSock.js

与webSocke建立连接

var websock = null;

var global_callback = null;
var serverPort = "8080"; // webSocket连接端口
var wsurl = "ws://" + window.location.hostname + ":" + serverPort+"/websocket/message";

/**
 * 创建socket连接
 * @param callback
 */
function createWebSocket(callback) {
  if (websock == null || typeof websock !== WebSocket) {
    initWebSocket(callback);
  }
}

/**
 * 初始化socket
 * @param callback
 */
function initWebSocket(callback) {
  global_callback = callback;
  // 初始化websocket
  //token会放在请求的Sec-WebSocket-Protocol参数里面
  websock = new WebSocket(wsurl,['你的token']);
  websock.onmessage = function (e) {
    websocketOnMessage(e);
  };
  websock.onclose = function (e) {
    websocketClose(e);
  };
  websock.onopen = function () {
    websocketOpen();
  };
  // 连接发生错误的回调方法
  websock.onerror = function () {
    console.log("WebSocket连接发生错误");
  };
}

/**
 * 实际调用的方法
  */
function sendSock(agentData ) {
  if (websock.readyState === websock.OPEN) {
    // 若是ws开启状态
    websocketsend(agentData);
  } else if (websock.readyState === websock.CONNECTING) {
    // 若是 正在开启状态,则等待1s后重新调用
    setTimeout(function () {
      sendSock(agentData);
    }, 1000);
  } else {
    // 若未开启 ,则等待1s后重新调用
    setTimeout(function () {
      sendSock(agentData);
    }, 1000);
  }
}

/**
 * 关闭
 */
function closeSock() {
  websock.close();
}

/**
 * 数据接收
 */
function websocketOnMessage(msg) {
  // 收到信息为Blob类型时
  let result = null;
  // debugger
  if (msg.data instanceof Blob) {
    const reader = new FileReader();
    reader.readAsText(msg.data, "UTF-8");
    reader.onload = (e) => {
      result = reader.result;
      // console.log("websocket收到", result);
      global_callback(result);
    };
  } else {
    result = msg.data;
    // console.log("websocket收到", result);
    global_callback(result);
  }
}

/**
 * 数据发送
 */
function websocketsend(agentData) {
  // console.log("发送数据:" + agentData);
  websock.send(agentData);
}

/**
 * 异常关闭
 */
function websocketClose(e) {
  // console.log("connection closed (" + e.code + ")");
}

function websocketOpen(e) {
  // console.log("连接打开");
}

export { sendSock, createWebSocket, closeSock };

2、后端的JWT拦截

前提 spring security配置类不允许/websocket匿名访问,需要鉴权才可以使用

2.1 先实现 HeaderMapRequestWrapper继承HttpServletRequestWrapper

来实现修改HttpServletRequest的请求参数

/**
 * 修改header信息,key-value键值对儿加入到header中
 */
public class HeaderMapRequestWrapper extends HttpServletRequestWrapper {
    private static final Logger LOGGER = LoggerFactory.getLogger(HeaderMapRequestWrapper.class);
    /**
     * construct a wrapper for this request
     *
     * @param request
     */
    public HeaderMapRequestWrapper(HttpServletRequest request) {
        super(request);
    }
    private Map<String, String> headerMap = new HashMap<>();
    /**
     * add a header with given name and value
     *
     * @param name
     * @param value
     */
    public void addHeader(String name, String value) {
        headerMap.put(name, value);
    }
    @Override
    public String getHeader(String name) {

        String headerValue = super.getHeader(name);
        if (headerMap.containsKey(name)) {
            headerValue = headerMap.get(name);
        }
        return headerValue;
    }
    /**
     * get the Header names
     */
    @Override
    public Enumeration<String> getHeaderNames() {
        List<String> names = Collections.list(super.getHeaderNames());
        for (String name : headerMap.keySet()) {
            names.add(name);
        }
        return Collections.enumeration(names);
    }
    @Override
    public Enumeration<String> getHeaders(String name) {

        List<String> values = Collections.list(super.getHeaders(name));

        if (headerMap.containsKey(name)) {

            values = Arrays.asList(headerMap.get(name));
        }
        return Collections.enumeration(values);
    }
}

2.2 token过滤器 JWT认证拦截器修改

  @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException
    {
        /**
         * 通过request的url判断是否为websocket请求
         * 如果为websocket请求,先处理Authorization
         */
        if(request.getRequestURI().contains("/websocket")){
            HeaderMapRequestWrapper requestWrapper = new HeaderMapRequestWrapper((HttpServletRequest) request);
            //修改header信息 将websocket请求中的Sec-WebSocket-Protocol值取出处理后放入认证参数key
            //此处需要根据自己的认证方式进行修改  Authorization 和 Bearer
            requestWrapper.addHeader("Authorization","Bearer "+request.getHeader("Sec-WebSocket-Protocol"));
            request = (HttpServletRequest)  requestWrapper;
        }
        //处理完后就可以走系统正常的登录认证权限认证逻辑了
		//下边就是自己的验证token 登陆逻辑
        LoginUser loginUser = getLoginUser(request);
        ·······
        chain.doFilter(request, response);
    }
SpringBootWebSocket添加安全认证与授权功能
AI天才研究院
07-29 3261
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring BootWebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
SpringBoot+Vue+WebSocket+Token验证
weixin_44012423的博客
02-04 1494
很多帖子都么有这个,人家不加这个也能运行,有些问题就是如此其妙!使用封装好的框架,好用是好用,遇到问题,不了解底层逻辑,头发薅光都解决不了。因为项目一开始使用了token,上面的ws协议并不能像http一样携带token,我在引入token时,客户端一连接就立即断开。最后,引入token验证之后就连接失败这个问题,卡了我两天,期间尝试了各种方式拦截token都没有成功。2. 服务器打印(不要纠结会话id,已经是第N次连接了)这里最主要的就是在response添加 这个。到此,一个简单的案例已经实现了。
spring boot+vue+websockettoken身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
用户模块——握手验证
最新发布
m0_53926113的博客
03-14 1064
在当前实现中,每次 WebSocket 握手时,服务器都需要解析并验证 Token。服务器在 Netty 中解析 WebSocket 握手请求的 URL,提取 Token 进行身份认证认证成功后绑定 Token 到用户的 WebSocket 会话中。为了减少 WebSocket 认证的额外开销,我们需要优化传统的认证流程,让用户在刷新页面时不需要额外发送认证请求,而是。(RTT,Round Trip Time),不仅增加了服务器压力,还会影响用户体验,尤其是在网络延迟较高的环境下,认证速度会明显变慢。
Springboot实现websocket(连接前jwt验证token
weixin_42966151的博客
09-27 6956
二、因为springbootwebsocket连接时不会显示header信息,也就无法拿到cookie中的token信息,需要在连接前处理,新建一个WebSocketConfig.class,在连接前做一个jwttoken验证,并获取用户的账号信息添加到session中。(关于jwttoken验证工具类我这里就不详细讲了),用户连接服务器weksocket前,需经过jwttoken验证token中包含账号信息),验证合法后,才可以于服务器正常交互。一、配置依赖(pom.xml)
Spring中的Websocket身份验证和授权
一起学习一起进步~
08-09 2427
如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予权限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。
SpringBootSpring-security、WebSocket整合,WebSockettoken加入Spring-security认证机制
qq_37470526的博客
08-06 6853
背景 项目里边有个模块首页会显示一些汇总信息,有部分信息需要进行实时更新,因此想到使用WebSocket进行长连接,进入后便链接后台,然后后台根据需求(定时、数据有更新)给前台反馈数据,从而达到一次链接,一直通信的功能。避免了前端轮询调用带来的资源消耗。 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring BootJWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
SpringBoot整合WebSocketJWTtoken)步骤以及注意事项
m0_56007820的博客
08-24 5885
SpringBoot整合WebSocketJWTtoken)步骤以及注意事项。 基于token拦截
SpringBoot结合JWTWebsocket拦截机制实现
在本文的示例项目中,名称为springboot-websocket-log-test,该项目可能包含了Spring Boot Web应用程序的基本结构,以及使用JWT进行认证WebSocket实现即时通信和拦截器处理请求的逻辑。开发者需要创建相应的JWT...
springboot2.0+websocket集成-关于token
暴躁兔子的记录
01-07 4385
之前的2篇都是讲的如何使用websocket,忽略了关于token方面的问题。下面就归纳一下。 参考: https://blog.csdn.net/maomaolaoshi/article/details/82593106 https://blog.csdn.net/supergao222/article/details/80115609 https://www.cnblogs.com/hait...
Spring WebSocket使用token认证连接
热门推荐
lnkToKing的博客
10-25 2万+
2018年3月6日 新增完成开发说明,移步:http://blog.csdn.net/lnktoking/article/details/78678406 后台代码配置: /** * WebSocket配置 * @author lnkToKing */ @Configuration /* * 开启使用STOMP协议来传输基于代理(message broker)的消息 * 启用后控制器...
JWT实现websockettoken登录拦截认证
weixin_58775072的博客
12-16 3040
关于websocket的请求必须登录实现websocket需要登录后才可使用,不登录不能建立连接。后台spring security配置添加websocket的请求可以匿名访问,关于websocket的请求不要认证就可以随意访问,去除匿名访问后,前端在与websocket建立链接无法在请求头里直接加入Authorization token信息,任何关于websocket的请求都无法通过token认证
Spring实战项目】SpringBoot3整合WebSocket+拦截实现登录验证!从原理到实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
04-03 3261
WebSocket是基于TCP协议的一种网络协议,它实现了浏览器与服务器全双工通信,支持客户端和服务端之间相互发送信息。在有WebSocket之前,如果服务端数据发生了改变,客户端想知道的话,只能采用定时轮询的方式去服务端获取,这种方式很大程度上增大了服务器端的压力,有了WebSocket之后,如果服务端数据发生改变,可以立即通知客户端,客户端就不用轮询去换取,降低了服务器的压力。目前主流的浏览器都已经支持WebSocket协议了。
日常记录:springbootwebsocket 添加拦截认证(一)
qq_16430873的博客
09-02 6112
springbootwebsocket 添加拦截认证springboot另外一种集成websocket方式。
日常记录:springbootwebsocket 添加拦截认证(二)
qq_16430873的博客
09-02 5326
springbootwebsocket 添加拦截认证,stomp协议的消息拦截
Java SpringBoot集成WebSocket根据登陆权限认证
AstarCloud
07-04 2011
【代码】Java SpringBoot集成WebSocket根据登陆权限认证
Springboot Websocket token 验证
m0_37598953的博客
08-17 1万+
可以根据拦截实现 1. 首先写一个WebSocketInterceptor,继承 TextWebSocketHandler 实现 HandshakeInterceptor /**      * 在握手之前执行该方法, 继续握手返回true, 中断握手返回false. 通过attributes参数设置WebSocketSession的属性      */     @Override     ...
Websocket实现token认证方式
Cain的博客
07-26 1万+
websocket token认证
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值