SpringSecurity整合WebSocket并携带token

已于 2023-05-10 16:02:19 修改
阅读量8.3k 收藏 45
点赞数 5
文章标签: websocket java 网络协议 spring spring boot
于 2023-04-07 09:35:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oNew_Lifeo/article/details/130003676
版权

目的

导入SpringSecurity的SpringBoot项目,在连接WebSocket时进行token校验

实现

SpringBoot整合Websocket的相关知识就不过多赘述,本文主要介绍WebSocket权限校验相关

1. 前端

WebSocket连接

 var windowTag = `${user.id}-${Math.random().toString(36).substr(2)}`;
 var token = user.token;

websocket = new WebSocket(`ws://localhost:9001/ws/chat/${windowTag}`,[token]);

windowTag是生成的随机窗口唯一标识符,token是用户登录后生成的令牌token
当前端发起WebSocket连接请求时,请求头在通信子协议Sec-WebSocket-Protocol里携带token
在这里插入图片描述

2. 后端

前端通过WebSocket的通信子协议携带token发送给后端,现在我们只需要获取到该token就能获取用户信息

/**
  WebSocket配置
*/
@Configuration
public class WebSocketConfig extends ServerEndpointConfig.Configurator {

    @Bean
    public ServerEndpointExporter serverEndpointExporter(){
        return new ServerEndpointExporter();
    }

    /**
     * 建立握手时,连接前的操作
     */
    @Override
    public void modifyHandshake(ServerEndpointConfig sec, HandshakeRequest request, HandshakeResponse response) {
        // 这个userProperties 可以通过 session.getUserProperties()获取
        final Map<String, Object> userProperties = sec.getUserProperties();
        Map<String, List<String>> headers = request.getHeaders();
        List<String> protocol = headers.get(WEBSOCKET_PROTOCOL);
        // 存放自己想要的header信息
        if(protocol != null){
            userProperties.put(WEBSOCKET_PROTOCOL, protocol.get(0));
        }
    }

    /**
     * 初始化端点对象,也就是被@ServerEndpoint所标注的对象
     */
    @Override
    public <T> T getEndpointInstance(Class<T> clazz) throws InstantiationException {
        return super.getEndpointInstance(clazz);
    }

}

将请求头中Sec-WebSocket-Protocol携带的token放入session的userProperties中,方便连接时获取token

@Slf4j
@Component
@ServerEndpoint(value = "/ws/chat/{windowTag}",configurator = WebSocketConfig.class)
public class ChatEndPoint {

    //用线程安全的map来保存当前用户
    private static Map<String, ChatEndPoint> onlineUsers = new ConcurrentHashMap<>();
    //声明一个session对象,通过该对象可以发送消息给指定用户,不能设置为静态,每个ChatEndPoint有一个session才能区分.(websocket的session)
    private Session session;

    //建立连接
    @OnOpen
    public void onOpen(Session session, @PathParam("windowTag") String windowTag){
        this.session = session;
        String username = getUserName(session);
        log.info("上线用户名称: {}", username);
        onlineUsers.put(username + "-" + windowTag, this);
        log.info("在线用户数: {}", onlineUsers.size());
    }

	......

    // 获取用户名
    private String getUserName(Session session){
        String token = getHeader(session, WEBSOCKET_PROTOCOL);
        return new TokenManager().getUserInfoFromToken(token);
    }

	public String getHeader(Session session, String headerName) {
        String header = (String) session.getUserProperties().get(headerName);
        if (StringUtils.isBlank(header)) {
            try {
                session.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        return header;
    }
}

通过子协议中携带的token获取用户名,并与窗口标识符拼接成连接标识符,之后将连接的session存放进线程安全的Map中

/**
	SpringSecurity的权限校验器
*/
public class TokenAuthFilter extends BasicAuthenticationFilter {

    private TokenManager tokenManager;

    public TokenAuthFilter(AuthenticationManager authenticationManager, TokenManager tokenManager) {
        super(authenticationManager);
        this.tokenManager = tokenManager;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("根据token获取用户权限并放入security上下文...");
        // websocket需要验证Sec-WebSocket-Protocol中的token
        String token = request.getHeader(WEBSOCKET_PROTOCOL);
        if(token == null){
            token = request.getHeader("token");
        }
        //获取当前认证成功用户权限信息
        UsernamePasswordAuthenticationToken authRequest = getAuthentication(token);
        //判断如果有权限信息,放到权限上下文中
        if(authRequest != null) {
            SecurityContextHolder.getContext().setAuthentication(authRequest);
        }
        chain.doFilter(request,response);
    }

    private UsernamePasswordAuthenticationToken getAuthentication(String token) {
        System.out.println("请求头中的token: " + token);
        if(!token.equals("null")) {
            //从token获取用户名
            String username = tokenManager.getUserInfoFromToken(token);
            System.out.println("token获取用户名:"+username);
            //从token获取对应权限列表
            List<String> permissionValueList = tokenManager.getUserPermissionList(token);
            Collection<GrantedAuthority> authority = new ArrayList<>();
            if(permissionValueList != null){
                for(String permissionValue : permissionValueList) {
                    SimpleGrantedAuthority auth = new SimpleGrantedAuthority(permissionValue);
                    authority.add(auth);
                }
            }
            return new UsernamePasswordAuthenticationToken(username,token,authority);
        }
        return null;
    }
}

在SpringSecurity权限校验时先获取Sec-WebSocket-Protocol携带的token
当我们以为一切准备就绪时,运行时发现报错了
在这里插入图片描述
WebSocket握手阶段出错:发送了非空“Sec-WebSocket-Protocol”请求头但是响应中没有此字段。在后端握手时设置一下请求头(Sec-WebSocket-Protocol)即可,前端发来什么值,这里就写什么值

@Order(1)
@Component
@WebFilter(filterName = "WebsocketFilter", urlPatterns = "/ws/**")
public class WebSocketFilter implements Filter {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        String token = ((HttpServletRequest) servletRequest).getHeader(WEBSOCKET_PROTOCOL);
        // 解决 Sent non-empty 'Sec-WebSocket-Protocol' header but no response was received
        response.setHeader(WEBSOCKET_PROTOCOL,token);

        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {}
}

连接成功!!
在这里插入图片描述
在这里插入图片描述
功能测试
在这里插入图片描述

在线打码
关注
WebSocket 连接建立之前进行身份验证时,token 应该如何存储
Chihirozy的博客
07-12 673
您可以根据您的应用需求和架构选择合适的 token 存储方式。当需要使用 token 进行身份验证时,可以从。
SpringSecurity结合Stomp使用WebSocket
weixin_52195362的博客
09-09 571
SpringSecurity中使用Stomp对WebSocket做权限校验
前端在WebSocket中加入Token
weixin_47793340的博客
02-06 5390
WebSocket通信中加入Token主要是为了实现身份验证和授权,确保只有经过验证的用户可以建立WebSocket连接。由于WebSocket API本身不支持直接在连接时设置HTTP头部,因此需要采用一些变通的方法来传递Token
WebSocket连接异常】前端使用WebSocket子协议传递token时,Java后端的正确打开方式!!!
一直往前走。
04-12 2540
在使用 cookie-session 验证用户登录状态和上下线状态时,服务器重启重启会导致存储在内存的 session 消失,因此用户后续的任何请求都可能触发拦截器的拦截操作,需重新进行登录才能正常进行后续的操作。而对于使用 token 来代替 cookie-session,虽然触发 HTTP 请求的操作能够做到 “用户无感知”,即服务器因某种原因重启后,用户不用二次登录依然可以完成操作;
Websocket And Security
weighless的博客
07-25 888
STOMP 提供了一个可互操作的线路格式,允许 STOMP 客户端与任何支持 STOMP 的消息代理进行交互。在客户端,你需要使用一个合适的库来建立 WebSocket 连接。如果你的客户端是一个网页,你可以使用 SockJS 和 STOMP 客户端库。security提供了一个默认的登录页面,在没有登录的情况下所有的请求都会被拦截到该页面,默认的登录名和密码是可以改的在yml配置文件中。接下来,创建一个控制器来处理发送到 WebSocket 的消息。的消息,并将响应发送到。自定义验证**执行顺序。
websocket jwt token
shelutai的博客
03-20 3586
websocket中,目前未提供修改请求头字段的方法,不过可以借助于“Sec-WebSocket-Protocol”,将token放入请求头中,后端收到请求后,从请求头中取得token做校验。另外需要注意的是,在响应头上添加Sec-Websocket-Protocol,如下是在grilla/websocket响应中设置Sec-Websocket-Protocol的方式。后端接收到请求后,从header中取出“Sec-WebSocket-Protocol”,做校验。在后面加上[这里是token内容]。
SpringBootSpring-securityWebSocket整合WebSockettoken加入Spring-security认证机制
qq_37470526的博客
08-06 6152
背景 项目里边有个模块首页会显示一些汇总信息,有部分信息需要进行实时更新,因此想到使用WebSocket进行长连接,进入后便链接后台,然后后台根据需求(定时、数据有更新)给前台反馈数据,从而达到一次链接,一直通信的功能。避免了前端轮询调用带来的资源消耗。 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、
SpringBoot+SpringSecurity+WebSocket
04-11
SpringBoot+SpringSecurity+WebSocket整合Demo
连接websocket,并携带token
最新发布
ZYJ_0215的博客
08-20 382
在实际对接的时候需要传入token在头部中,给后端的好哥们。
webSocket,自动重连,带心跳,携带token
weixin_49722066的博客
06-14 442
新建socket.js文件。这是我目前正在使用的方式。
Websockettoken发起连接
热门推荐
华灯初上
08-04 1万+
今天碰到一个需要在连接websocket服务时提交token的业务场景,无奈websocket不支持同时提交header,翻阅官方文档时候发现了可以携带一个自定义协议,我们可以通过将token存放在自定义协议中达到提交token的目的。 根据文档,我们调整下代码: //请务必注意,协议提交的是一个字符串数组类型。 var socket = new WebSocket('wss://url',['用户的token']); 好,这样我们的前端改造就完成了,简单吧~。 接下来就是后端的取值.
spring boot+vue+websockettoken身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
【第八篇】SpringSecurity基于JWT实现Token
筱白爱学习!的博客
06-14 656
SpringBoot项目中基于SpringSecurity作为认证授权框架的情况下如何整合JWT来实现Token的处理
SpringBoot整合WebSocket和JWT(token)步骤以及注意事项
m0_56007820的博客
08-24 5609
SpringBoot整合WebSocket和JWT(token)步骤以及注意事项。 基于token的拦截器
Spring集成webSocket详解
菜籽的博客
05-28 2357
踩坑总结 因为之前从来没有接触过,所以网上找了很多教程最后发现都不怎么完整,大多数都是直接全盘照抄《Spring Boot》一书中的相关示例,没有做任何修改,没有说明为什么一定要用spring security,而下面的教程自己也是踩了不少坑,如前后分离中session一直获取不到,导致无法链接上,uid不可为中文,websocket自带协议和服务,导致前后端分离一直报跨域的错误等等。当然web...
oauth2关于websocket携带token的探讨
weixin_43277309的博客
02-25 5815
oauth2关于websocket携带token的探讨一、简述二、关于websocket请求携带token2.1、通过websocket下的子协议来实现2.2、资源服务器放开请求路径。2.3、请求参数上携带access_token=token2.4、请求websocket的请求头中携带sec-websocket-protocol=Bearer +token三、后续有时间再补充 一、简述 前段时间,公司有个技术需求是做一个实时在线沟通功能,在遵循**合适、简单、演化**的原则下,我决定采用websocket
springboot websocket 传递 头信息 协议头 token 的前后端解决方案
qq_34168515的博客
08-14 1万+
文章目录一、前言二、js websocket 传递token2.1 基于协议头三、后台取出websocket协议头的参数3.1 取出token3.2 注意大坑四、结尾 一、前言 关于springboot websocket 可以参考我之前的文章 https://blog.csdn.net/qq_34168515/article/details/107578932 二、js websocket 传递token websocket协议在握手阶段借用了HTTP的协议,但是在JavaScript websocket
在vue项目中webSocket封装(传token
宝子的博客
12-16 2656
在中,目前未提供修改请求头字段的方法,参考其他的一些文章,依照他们的写法依然未能实现传递token,所有我和后端另辟蹊径,把token传在路径里面。
springboot+websocket+token验证+jedis支持集群部署发消息
黄大仙儿的专栏
11-04 1752
websocket主要代码 pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-websocket</artifactId> </dependency> MyWebSocketHandler 通过继承TextWebSocketHandle.
SpringCloud WebSocket怎么监听Token过期
06-02
Spring Cloud中,可以使用Spring Security框架来实现Token的认证和授权,同时也可以使用WebSocket来实现实时通信功能。下面介绍如何在Spring Cloud中使用WebSocket来监听Token过期: 1. 配置WebSocketSpring Cloud项目中,需要配置WebSocket以支持实时通信功能。在配置类上加上@EnableWebSocket注解,然后注册一个WebSocketHandler,用于处理WebSocket连接和消息。 ```java @Configuration @EnableWebSocket public class WebSocketConfig implements WebSocketConfigurer { @Override public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) { registry.addHandler(myHandler(), "/myHandler").setAllowedOrigins("*"); } @Bean public WebSocketHandler myHandler() { return new MyHandler(); } } ``` 2. 获取TokenWebSocket的处理器中,可以使用Spring Security提供的SecurityContextHolder来获取当前用户的认证信息。从认证信息中可以获取到Token的信息,包括Token的过期时间。 ```java public class MyHandler extends TextWebSocketHandler { @Override public void afterConnectionEstablished(WebSocketSession session) throws Exception { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); String token = ((OAuth2Authentication) authentication).getOAuth2Request().getRequestParameters().get("access_token"); OAuth2AccessToken accessToken = tokenStore.readAccessToken(token); if (accessToken == null || accessToken.isExpired()) { // Token已过期,向前端发送一个消息 session.sendMessage(new TextMessage("Token已过期,请重新登录!")); } } } ``` 需要注意的是,这里的OAuth2Authentication和tokenStore需要根据具体的实现进行调整。 3. 实现Token过期监听 在WebSocket的处理器中,需要实现Token过期的监听功能。可以使用Spring Security提供的OAuth2AccessToken来判断Token是否过期,如果过期,则向前端发送一个消息。 ```java public class MyHandler extends TextWebSocketHandler { @Override public void afterConnectionEstablished(WebSocketSession session) throws Exception { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); String token = ((OAuth2Authentication) authentication).getOAuth2Request().getRequestParameters().get("access_token"); OAuth2AccessToken accessToken = tokenStore.readAccessToken(token); if (accessToken == null || accessToken.isExpired()) { // Token已过期,向前端发送一个消息 session.sendMessage(new TextMessage("Token已过期,请重新登录!")); } } @Override public void handleTransportError(WebSocketSession session, Throwable exception) throws Exception { if (exception instanceof OAuth2AccessTokenExpiredException) { // Token已过期,向前端发送一个消息 session.sendMessage(new TextMessage("Token已过期,请重新登录!")); } else { super.handleTransportError(session, exception); } } } ``` 需要注意的是,这里的OAuth2AccessTokenExpiredException是Spring Security框架提供的异常类,用于表示Token已过期。当WebSocket连接出现异常时,可以通过捕获OAuth2AccessTokenExpiredException来判断Token是否过期。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值