WebScoket和SpringBoot以及Security的一些记录

于 2024-06-03 22:04:59 发布
阅读量913 收藏 6
点赞数 7
文章标签: spring boot 后端 java websocket spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kimido/article/details/139425226
版权

在构建WebScoket时,考虑到要配合Security的鉴权认证问题,毕竟不能把所有要传输的数据都放到Path上是吧?

一开始根据网上的不少参考资料进行开发,基本上都是基于Session进行的,本以为HttpSession和WebSocketSession这两个会自动进行数据的交换,但是没想到,两者毫不相干,再加上因为Spring容器的自动注入是单例而WebSocket是多对象,无法直接进行自动注入,所有无法直接从SecurityContextHolder.getContext().getAuthentication().getPrincipal()获取到当前登陆的用户对象。

于是开始想着自己往HttpSession中加入principal对象,然后通过拦截器的方式,在与WebScoket进行握手之前,向WebSocket的Session里进行写入principal对象,但是出现了一系列的null异常问题,试了一下午也没有得到好的解决方案。

于是绝定走Redis进行当前登录用户数据的存取。。。。

但是想了一会感觉有点大动干戈了,因此决定使用JWTToken进行当前用户数据的传递(在HttpSession和WebSocketSession之间)。

方案如下:

原理:因为每次通过Http进行登陆请求后得到token返回,之后的每一次请求,尤其是WebSocket请求,只要携带token数据,之后在对应的处理方法里解析就能得到当前登录的用户数据,以该用户的某个属性,比如username为key,将当前的WebSocketSession作为value 进行绑定映射,装入ConcurrentHashMap中进行存储,方便之后的操作。

重点:如何将token写入到WebSocket的请求里?

回答:在握手之间进行修改即可,在WebSocket的配置里刚好有个modifyHandshake方法可以在握手之前就进行request的修改。

注意,结果并不是要从request中取到,而是应该从WebSocket中的Session中取到,因为WebSocket提供的HandshakeRequest 无法直接在@On...等方法中进行直接引用,所有要在modifyHandshake中将request中的目标字段属性写到WebSocket中提供的ServerEndpointConfig 中,之后调用sec.getUserProperties().put()写入字段属性和值。

接下来具体的内容直接看图把。。。。。。

这是WebSocket配置和握手前的request修改:

生成token的地方:

以下为ServerEndPoint的编码:

package com.example.communication.server;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.example.auth.entity.LoginUserDetailServiceImp;
//import com.example.communication.conf.WebSocketConf;
import com.example.communication.conf.WebSocketConf;
import com.example.communication.entity.Message;
import com.example.core.utils.JWTUtil;
import io.jsonwebtoken.Claims;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;


import javax.websocket.*;
import javax.websocket.server.HandshakeRequest;
import javax.websocket.server.PathParam;
import java.io.IOException;
import java.util.List;
import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;

@javax.websocket.server.ServerEndpoint(value = "/server",configurator = WebSocketConf.class)
@Component
public class ServerEndpoint {

    private static  ConcurrentHashMap<String, Session> concurrentHashMap=new ConcurrentHashMap<>();

    private Session session;


    private LoginUserDetailServiceImp loginUserDetailServiceImp;

    @Autowired
    public void setLoginUserDetailServiceImp(LoginUserDetailServiceImp loginUserDetailServiceImp){
        this.loginUserDetailServiceImp=loginUserDetailServiceImp;
    }

    public static void sendMessage(Message message) throws IOException {
        String toUsername = message.getToName();
        String msg=message.getMessage();
        concurrentHashMap.get(toUsername).getBasicRemote().sendText(JSON.toJSONString(msg));
    }

    public static void sendToAllMessage(String data) throws IOException {
        for(Map.Entry<String, Session> session :concurrentHashMap.entrySet()){
            session.getValue().getBasicRemote().sendText(JSON.toJSONString(data));
        }
    }
    public static void sendToOneMessage(Message message){
        Object msg = message.getMessage();
    }

    public static String getUsernameFromToken(Session session){
        List<String> token= (List) session.getUserProperties().get("token");
        Claims claims = JWTUtil.pareToken(token.get(0));
        return  (String) claims.get("username");
    }



    @OnOpen
    public void onOpen(Session session) throws IOException {
        String currentUsername = getUsernameFromToken(session);
        concurrentHashMap.put(currentUsername,session);
        System.out.println(session);
        sendToAllMessage("欢迎"+currentUsername+"加入了天上人间聊天室,当前聊天室内有"+concurrentHashMap.size()+"人");
    }

    @OnMessage
    public void onMessage(Session session, String msg) throws IOException {
        JSONObject parseJson = (JSONObject) JSONObject.parse(msg);
        String massage = (String) parseJson.get("message");
        String toUsername = (String) parseJson.get("toUsername");
        if(toUsername.equals("ALL")){
            sendToAllMessage(massage);
        }else {
            Message oneMassage = new Message(toUsername, massage);
            sendMessage(oneMassage);
        }
    }

    @OnClose
    public void onClose(Session session) throws IOException {
        if (session!=null) {
            concurrentHashMap.remove(getUsernameFromToken(session));
            sendToAllMessage("用户:"+getUsernameFromToken(session)+"已退出聊天室");

        }
    }
    @OnError
    public void onError(Session session) throws IOException {
        String username = getUsernameFromToken(session);
        sendMessage(new Message("出错了,请重试",username));
    }
}

更为具体的可以看我这个项目:SchoolBlog: 目标是建议一套完整的校园web后端服务框架,包含但不限于基本的用户登录鉴权系统,贴吧系统,私信系统和聊天室系统,用户信息系统。 (gitee.com)

kimido
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBootWebSocket添加安全认证与授权功能
程序员光剑
07-29 2601
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring BootWebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
SpringSecurity结合Stomp使用WebSocket
最新发布
weixin_52195362的博客
09-09 554
SpringSecurity中使用Stomp对WebSocket做权限校验
websocket 获取登录用户_奇怪,Spring Security 登录成功后总是获取不到登录用户信息?...
weixin_39963174的博客
12-09 1221
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。有好几位小伙伴小伙伴曾向松哥求助过这个问题。一开始我觉得这可能是一个小概率 BUG,但是当问的人多了,我觉得这个问题对于新手来说还有一定的普遍性,有必要来写篇文章跟大家仔细聊一聊这个问题,防止小伙伴们掉坑。视频看完了,如果小伙伴们觉得松哥的视频风格还能接受,也可以看看松哥自制的...
Spring Boot整合WebSocketSpring Security实例
weixin_34174322的博客
05-31 6304
一.为什么需要WebSocket在HTTP协议中,所有请求都是由客户端发起的,由服务端进行响应,服务端无法向客户推送消息,但是在一些需要即时通信的应用中,有不可避免的需要服务端向客户端推送消息,传统的解决方案有如下几种1.轮询轮询是最简单的解决方案,其意义在于,客户端在固定的时间间隔下不停地向服务端发送请求,查看服务端是否有新的数据,若服务端有新的数据,则返回给客户端,若是服务端没有新的数据,则返...
WebSocket连接请求被Spring Security拦截, WebSocket无法连接
luoyongweis的博客
06-16 9865
使用Spring Security时,Security默认会拦截WebSocket连接,尝试了在 configure(HttpSecurity httpSecurity) 中各种配置还是无效,后来经过尝试,在
SpringBoot+SpringSecurity+WebSocket
04-11
SpringBoot+SpringSecurity+WebSocket的整合Demo
SpringBootSpring-securityWebSocket整合,WebSocket带token加入Spring-security认证机制
qq_37470526的博客
08-06 6103
背景 项目里边有个模块首页会显示一些汇总信息,有部分信息需要进行实时更新,因此想到使用WebSocket进行长连接,进入后便链接后台,然后后台根据需求(定时、数据有更新)给前台反馈数据,从而达到一次链接,一直通信的功能。避免了前端轮询调用带来的资源消耗。 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、
SpringSecurity整合WebSocket并携带token
oNew_Lifeo的博客
04-07 8228
导入SpringSecuritySpringBoot项目,在连接WebSocket时进行token校验
springboot + jwt + websocket + 拦截
09-02
结合提供的标题和描述,我们可以深入探讨这四个关键词如何组合使用,以及它们在实际开发中的应用。 首先,Spring Boot是基于Spring框架的快速开发工具,它简化了创建独立、生产级别的基于Spring的应用程序的过程。...
springboot-websocket:SpringBoot整合WebSocket
05-26
Spring Security可以为WebSocket提供安全支持,包括认证和授权。 10. **监控与日志**:在生产环境中,监控WebSocket连接的状态和消息传输情况非常重要。Spring Boot可以通过Actuator模块来监控WebSocket统计信息,...
毕设项目:基于netty+websocket+springboot的实时聊天系统.zip
08-23
3. **SpringBoot**:掌握SpringBoot的自动配置、启动器、起步依赖等特性,以及如何使用它来构建RESTful API和WebSocket服务。 4. **Spring Security**:了解如何通过Spring Security实现用户认证和授权,保护聊天...
Springboot+Security+webSocket+POI+VUE.rar
11-15
基于springboot2.0+vue的前后端分离系统权限架构,使用Security控制权限,websocket实时聊天,vue编写前端,另包含可执行mysql脚本
详解Spring Cloud微服务架构下的WebSocket解决方案
08-26
主要介绍了详解Spring Cloud微服务架构下的WebSocket解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring-websocketSpringBoot(包含SpringSecurity)项目中的导入
Meteors.的博客
07-26 1343
这篇文章分享了如何在SpringBoot中引入spring-websocket,并附带了配套的前端代码、测试网址和运行截图。
使用WebSocket连接被Spring Security拦截
qq_53561431的博客
05-21 1496
最近项目中使用Spring Security进行验证过滤,后来发现Spring Security拦截http的同时也拦截了websocket,导致websocket无法连接 void configure(WebSecurity webSecurity)中设置即可: @Override public void configure(WebSecurity webSecurity){ webSecurity.ignoring().antMatchers( "
spring boot security 配置 WebSocket
变异的程序员博客
04-15 1131
根据大多数网上的介绍到这一步已经可以了,谁能想到这些该天杀的掉了一个配置😤,我自己到这一步就死活连不上。3. 创建socket的连接点配置。
Spring Boot + WebSocket + Spring Security(定向发送消息)
qq_37279648的博客
10-08 2399
定向发送消息涉及到用户,需要引入Spring Security相关内容。 1.添加Spring Security,websocket和thymeleaf等依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency>
websocket配合spring-security使用token认证
weixin_34273046的博客
12-19 5501
使用框架介绍 spring boot 1.4.3.RELEASE spring websocket 4.3.5.RELEASE spring security 4.1.3.RELEASE sockjs-client 1.0.2 stompjs 2.3.3 项目介绍 由于公司需要使用websocket主动给前端用户推送消息,公司的项目是...
websocket使用spring-security-oauth2的认证
qq_34850932的博客
07-13 1756
项目集成spring-security-oauth2,来做鉴权认证,是 现在常用的一种手段,一般来说都是在header中加入Authorization请求头,但是websocket因为其特殊性,header中不能添加 Authorization认证的请求头 通过查看其源码得到了如下内容: 1. 2. 3. 4. 这里显示从request的header中获取token 5. 从第5步看,是从request中获取Authorization请求头来获取的认证token 但是第4步显示如果heade
security 放行 websocket
07-27
- *1* [学习记录680@springboot+vue+nginx+springsecurity环境下的websocket实战](https://blog.csdn.net/weixin_44663675/article/details/130245139)[target="_blank" data-report-click={"spm":"1018.2226.3001....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值