WebSocket用户验证

已于 2024-04-01 16:08:12 修改
阅读量2.1k 收藏 2
点赞数 12
分类专栏: java 文章标签: websocket 网络协议 网络
于 2024-04-01 16:02:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heye644171300/article/details/137235377
版权

在WebSocket中,如何携带用户的验证信息

一、在OnMessage中进行验证

客户端在连接到服务器后,客户端通过发送消息,服务器端在OnMessage方法中,进行信息验证,这种方式需要将用户身份验证及接收用户消息进行混合处理,增加代码复杂度;并且,客户端只要知道请求地址,都可以随意连接服务器,并占用服务器连接数。

二、将Token或验证信息通过路径或请求参数进行添加

使用这种方式,需要将验证信息加入到请求路径或者请求参数中,如:ws://127.0.0.1:8080/websocket/message?token=dsfsdfdsf.sdfasdfsdflkj,安全性较差,需要对验证信息进行加密处理

三、通过Header中的Sec-WebSocket-Protocol进行传输

使用该种方式,需要注意,在响应服务器请求时,需要将该参数原封不动的返回给客户端,否则将报错

若依框架集成WebSocket

1、下载代码并添加到若依的framework包中

2、在启动类中添加@EnableWebSocket

3、修改TokenService.java中的getToken方法,添加获取websocket Header方法

private String getToken(HttpServletRequest request)
    {
        String token = request.getHeader(header);

        if(StringUtils.isBlank(token)) {
            token = request.getHeader("Sec-Websocket-Protocol");
        }

        if (StringUtils.isNotEmpty(token) && token.startsWith(Constants.TOKEN_PREFIX))
        {
            token = token.replace(Constants.TOKEN_PREFIX, "");
        }
        return token;
    }

4、修改JwtAuthenticationTokenFilter.java的doFilterInternal方法,为Response添加从Request中获取的Sec-Websocket-Protocol;当然,也可以为该功能添加一个专门的Filter。

如果没有在Response中添加Sec-Websocket-Protocol信息,将在客户端请求连接时报错,导致无法建立连接

    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException
    {
        LoginUser loginUser = tokenService.getLoginUser(request);
        if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication()))
        {
            tokenService.verifyToken(loginUser);
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }

        String token = request.getHeader("Sec-Websocket-Protocol");
        if (StringUtils.isNotNull(token)) {
            response.addHeader("Sec-Websocket-Protocol", token);
        }

        chain.doFilter(request, response);
    }

5、前端WebSocket客户端添加用户验证信息

ws = new WebSocket(url, [token]);

6、打开测试页面,并修改请求地址,点击连接,连接到websocket服务

已连接到 ws://127.0.0.1:8080/websocket/message

连接成功

酱油砖家
关注
专栏目录
spring boot+vue+websocket带token身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
WebSocket用户身份认证
广工最菜的琛
12-07 2万+
关于Session认证的探索 在最近的项目中利用了Session进行用户的认证,乘机总结下踩过的坑以及解决方法 使用环境 SpringBoot 2.x, Spring 4.x 碰到的问题 利用过滤器验证用户权限时,由于httpServletRequest中的输出输入流只能读取一次,导致在过滤器中取出前端发送的请求值,在将其与Sessionuser进行权限验证后,在业务逻辑层再次调用httpSer...
WebSocket在SpringBoot+vue(若依)中的使用教程,扩展:模仿微信,实现五子棋小游戏等
最新发布
qq_53280226的博客
09-25 629
注:先讲解java后端WebSocket的使用,在介绍vue中WebSocket的使用,最后附上博主制作的聊系统,有兴趣的可以看一下。
WebSocket 连接建立之前进行身份验证
Chihirozy的博客
07-12 1420
另外,根据“CWE-1385: WebSockets 中缺少来源验证”的弱点描述,在 WebSocket 握手期间验证“Origin”标头来保护类似跨域资源共享(CORS)的访问限制,也有助于增强安全性。同时,要确保 token、签名或其他用于身份验证的信息具有足够的复杂性和保密性,并在服务器端进行严格的验证逻辑,以防止身份验证被绕过或攻击。这些方法可以根据具体的应用场景和需求进行选择和实施。上述示例中的代码是一种常见的实现方式,你可能需要根据你的实际项目环境进行相应的调整。
websocket怎么实现登录验证
热门推荐
11-22 2万+
分两步: 1.第一步通过http请求,发送username、pwd去服务器认证,如果认证成功,服务器生成token令牌返回客户端。 2.客户端拿着返回的token, 通过websocket来连接服务器:wss://127.0.0.1/websocket?token=token 3.如果连接成功,服务器生成websocket  session,   以上是我个人想法,不知道对不对,欢迎大神...
Springboot实现websocket(连接前jwt验证token)
weixin_42966151的博客
09-27 5698
二、因为springboot的websocket连接时不会显示header信息,也就无法拿到cookie中的token信息,需要在连接前处理,新建一个WebSocketConfig.class,在连接前做一个jwt的token验证,并获取用户的账号信息添加到session中。(关于jwt的token验证工具类我这里就不详细讲了),用户连接服务器weksocket前,需经过jwt的token验证(token中包含账号信息),验证合法后,才可以于服务器正常交互。一、配置依赖(pom.xml)
springBoot JWT实现websocket的token登录拦截认证
god_sword_的博客
07-03 3210
springBoot JWT实现websocket的token登录拦截认证 功能:所有关于websocket的请求必须登录,实现websocket需要登录后才可使用,不登录不能建立连接。
Websocket实现token认证方式
Cain的博客
07-26 9688
websocket token认证
Spring中的Websocket身份验证和授权
一起学习一起进步~
08-09 2235
如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予权限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。
springboot项目中使用netty+websocket 实现消息推送(带校验用户是否登陆功能)
yymagicer的博客
08-12 6839
maven引入包: <!-- websocket --> <dependency> <groupId>io.netty</groupId> <artifactId>netty-all</artifactId> <version>4.1.36.Final</versio...
基于Springboot用Netty实现WebSocket用户身份校验
linbeiwo的博客
07-21 2814
基于Springboot用Netty实现WebSocket用户身份校验
websocket向指定用户发信息
03-01
使用HTTPS协议可以提供网络层的安全保护,同时在服务器端进行验证,确保只有授权的用户才能接收特定信息。 6. **服务器架构**:随着用户数量的增长,单一服务器可能无法处理所有连接。此时,可以使用负载均衡和集群...
斩月网络验证 斩月用户管理系统 websocket网络验证 免费网络验证 离线网络验证 windows网络验证
10-23
斩月网络验证是一款完全免费的Windows网络...优势:开箱即用,可自定义返回值,自己写插件,性能强,稳定6W同时在线用户 希望这款验证,能满足你的一切需求,节省你的开发时间,您的使用就是对我莫大的支持(请勿用于非法用途)
若依WebSocket集成
04-01
6. **安全性**:在实际应用中,你还需要考虑WebSocket的安全性,例如使用JWT令牌验证用户身份,限制非法连接,以及使用SSL/TLS加密通信以保护数据安全。 以上就是若依框架中集成WebSocket的基本步骤和关键知识点。...
websocket群发和指定用户
11-16
这通常需要一个用户身份验证机制,以确保只有授权的用户可以发送和接收消息。 在实际开发中,还需要考虑以下几点: 1. 连接管理:处理客户端断线重连,避免消息丢失。 2. 消息队列:当消息发送频繁时,可能需要引入...
springboot+websocket分布式实现
11-17
3. 安全性:添加必要的安全措施,如使用SSL/TLS加密连接,防止中间人攻击,以及对用户身份验证和授权。 综上所述,“springboot+websocket分布式实现”涉及到的主要技术包括WebSocket协议、SpringBoot的WebSocket...
SpringBoot为WebSocket添加安全认证与授权功能
AI天才研究院
07-29 2770
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
使用 Sa-Token 解决 WebSocket 握手身份认证
shengzhang_的博客
02-14 5429
WebSocket 中集成 Sa-Token 身份认证,保证连接的安全性……
websocket校验token:使用threadlocal存放和获取当前登录用户
qq_41358574的博客
08-07 2167
主要是将目前的类定义成一个websocket服务器端, 注解的值将被用于监听用户连接的终端访问URL地址,客户端可以通过这个URL来连接到WebSocket服务器端,在这里配置configurator属性为刚刚写的配置类。都知道threadlocal可以用于线程之间的变量隔离,在登录时中它可以放入当前用户,之后再用于获取当前登录用户,下面是一个使用实例。在AuthUtils.checkAccessToken方法内部最终执行了threadelocal的put方法。用户实体类:(jpa框架)...
websocket如何区分用户
06-10
WebSocket 是基于 TCP 协议的双向通信协议,它建立在 HTTP 协议之上,因此在建立 WebSocket 连接时,可以通过 HTTP 请求头中的一些信息来区分用户。 常用的区分用户的方法有两种: 1. 使用 HTTP 请求头中的 Cookie 字段:在客户端通过 HTTP 请求建立 WebSocket 连接时,可以将用户的身份信息存储在 Cookie 中。在服务端接收到 WebSocket 连接请求时,可以解析请求头中的 Cookie 字段,从而获取用户的身份信息。 2. 使用 WebSocket 协议自身的身份认证机制:WebSocket 协议提供了身份认证机制,可以在建立 WebSocket 连接时进行身份验证,从而区分用户。常见的身份认证方式包括 JWT 鉴权、OAuth2.0 鉴权等。在服务端接收到 WebSocket 连接请求时,可以解析身份认证信息,从而获取用户的身份信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值