springboot2.1.3整合websocket和websocket-security支持跨域连接

最新推荐文章于 2024-01-08 15:52:04 发布
最新推荐文章于 2024-01-08 15:52:04 发布
阅读量5.6k 收藏 15
点赞数
分类专栏: spring 文章标签: websocket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35433926/article/details/91864127
版权

springboot整合websocket和websocket-security支持跨域连接

项目地址

项目地址:https://gitee.com/xuelingkang/spring-boot-demo
完整配置参考com.example.websocket包

添加依赖

<!-- websocket -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-websocket</artifactId>
</dependency>
<!-- websocket security -->
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-messaging</artifactId>
</dependency>

主配置类

package com.example.config;

import com.example.websocket.*;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.messaging.Message;
import org.springframework.messaging.MessageChannel;
import org.springframework.messaging.handler.annotation.MessageMapping;
import org.springframework.messaging.simp.config.MessageBrokerRegistry;
import org.springframework.security.config.annotation.web.messaging.MessageSecurityMetadataSourceRegistry;
import org.springframework.security.config.annotation.web.socket.AbstractSecurityWebSocketMessageBrokerConfigurer;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.socket.WebSocketMessage;
import org.springframework.web.socket.WebSocketSession;
import org.springframework.web.socket.config.annotation.DelegatingWebSocketMessageBrokerConfiguration;
import org.springframework.web.socket.config.annotation.EnableWebSocketMessageBroker;
import org.springframework.web.socket.config.annotation.StompEndpointRegistry;
import org.springframework.web.socket.config.annotation.WebMvcStompEndpointRegistry;
import org.springframework.web.socket.messaging.StompSubProtocolErrorHandler;
import org.springframework.web.socket.messaging.StompSubProtocolHandler;

/**
 * 默认通过注解{@link EnableWebSocketMessageBroker}
 * 开启使用STOMP协议来传输基于代理(message broker)的消息,支持使用{@link MessageMapping}就像支持{@link RequestMapping}一样。
 * 但是注解{@link EnableWebSocketMessageBroker}会引入{@link DelegatingWebSocketMessageBrokerConfiguration}配置类,
 * 该配置类默认使用{@link WebMvcStompEndpointRegistry},{@link WebMvcStompEndpointRegistry}的stomp协议处理器为
 * {@link StompSubProtocolHandler},处理消息的方法:
 * @see StompSubProtocolHandler#handleMessageFromClient(WebSocketSession, WebSocketMessage, MessageChannel)
 * @see StompSubProtocolHandler#handleMessageToClient(WebSocketSession, Message)
 * 未对自定义拦截做支持,
 * 所以取消{@link EnableWebSocketMessageBroker},使用自定义配置{@link CustomizeWebSocketMessageBrokerConfiguration}
 */
@Configuration
//@EnableWebSocketMessageBroker
public class WebSocketSecurityConfig extends AbstractSecurityWebSocketMessageBrokerConfigurer {

    // 异常处理器
    @Bean
    public StompSubProtocolErrorHandler stompSubProtocolErrorHandler() {
        return new StompSubProtocolErrorHandlerImpl();
    }

    // 匹配消息资源
    @Bean
    public MessageResourceMatcher messageResourceMatcher() {
        return new MessageResourceMatcher();
    }

    // 授权决策拦截器
    @Bean
    public AccessDecisionFromClientInterceptor accessDecisionFromClientInterceptor() {
        return new AccessDecisionFromClientInterceptor();
    }

    // sessionId记录
    @Bean
    public SessionIdRegistry sessionIdRegistry() {
        return new SessionIdRegistry();
    }

    // sessionId登记拦截器
    @Bean
    public SessionIdRegistryInterceptor sessionIdRegistryInterceptor() {
        return new SessionIdRegistryInterceptor();
    }

    // sessionId移除拦截器
    @Bean
    public SessionIdUnRegistryInterceptor sessionIdUnRegistryInterceptor() {
        return new SessionIdUnRegistryInterceptor();
    }

    /**
     * 只设置{@link #sameOriginDisabled}不能解决同源策略,
     * 必须在注册endpoint时设置setAllowedOrigins
     */
    @Override
    public void registerStompEndpoints(StompEndpointRegistry registry) {
        registry.addEndpoint("/endpoint").setAllowedOrigins("*").withSockJS();
        registry.setErrorHandler(stompSubProtocolErrorHandler());
        // 配置拦截器
        ((CustomizeWebMvcStompEndpointRegistry) registry)
                .addFromClientInterceptor(accessDecisionFromClientInterceptor())
                .addFromClientInterceptor(sessionIdUnRegistryInterceptor())
                .addToClientInterceptor(sessionIdRegistryInterceptor());
    }

    // 这里取消所有检查,统一在授权决策拦截器中处理
    @Override
    protected void configureInbound(MessageSecurityMetadataSourceRegistry messages) {
        messages.nullDestMatcher().authenticated()
                .anyMessage().permitAll();
    }

    // 关闭同源策略
    @Override
    protected boolean sameOriginDisabled() {
        return true;
    }

    @Override
    public void configureMessageBroker(MessageBrokerRegistry registry) {
        registry.enableSimpleBroker("/topic");
        registry.setApplicationDestinationPrefixes("/app");
    }

}

开发中遇到的坑

  1. 通过参考spring官方文档和阅读源码发现:websocket授权决策只支持硬编码,且没有对自定义拦截做支持

    官方文档片段:
@Configuration
public class WebSocketSecurityConfig extends AbstractSecurityWebSocketMessageBrokerConfigurer {

    @Override
    protected void configureInbound(MessageSecurityMetadataSourceRegistry messages) {
        messages
                .nullDestMatcher().authenticated()
                .simpSubscribeDestMatchers("/user/queue/errors").permitAll()
                .simpDestMatchers("/app/**").hasRole("USER")
                .simpSubscribeDestMatchers("/user/**", "/topic/friends/*").hasRole("USER")
                .simpTypeMatchers(MESSAGE, SUBSCRIBE).denyAll()
                .anyMessage().denyAll();

    }
}

所以继承了StompSubProtocolHandler,WebMvcStompEndpointRegistry,DelegatingWebSocketMessageBrokerConfiguration这三个类,添加websocket自定义拦截器接口,可以在拦截器中自定义websocket授权决策检查

  1. 跨域连接websocket,由于前后端分离开发,开发环境下前后端不同源,所以需要跨域连接websocet
@Override
protected boolean sameOriginDisabled() {
    return true;
}

配置类可以重写这个方法,默认该方法返回false,看方法的名字是关闭同源策略,但是只重写这个方法不能解决跨域的问题,还需要在registerStompEndpoints方法中设置允许的域名,"*"代表所有

@Override
public void registerStompEndpoints(StompEndpointRegistry registry) {
    registry.addEndpoint("/endpoint").setAllowedOrigins("*").withSockJS();
    registry.setErrorHandler(stompSubProtocolErrorHandler());
    // 配置拦截器
    ((CustomizeWebMvcStompEndpointRegistry) registry)
            .addFromClientInterceptor(accessDecisionFromClientInterceptor())
            .addFromClientInterceptor(sessionIdUnRegistryInterceptor())
            .addToClientInterceptor(sessionIdRegistryInterceptor());
}
  1. 虽然支持了@MessageMapping,但是我仍然使用@RequestMapping发送消息,只在浏览器订阅消息时使用websocket,因为项目中配置了validation和全局异常拦截,通过全局异常拦截向浏览器返回提示信息,如果用MessageMapping,参数验证不通过的话会直接抛异常,而不会被全局异常拦截器拦截。

如果有误导人的地方,欢迎大神批评指正!

人菜瘾大老薛
关注
专栏目录
解决跨域问题的8大方法:Nginx、SpringBoot与网关全面解析
java专栏
09-26 567
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀。
SpringBoot API设计指南
AI天才研究院
08-01 1746
软件设计也称之为编程设计、编码设计等,其目的在于解决某类问题,得到满足用户需求的有效方案。针对开发者日益复杂的编程工作,越来越多的人开始采用面向对象的编程方法进行编程设计,同时提倡以组件的方式封装业务逻辑,降低系统耦合性并提高可维护性。Spring 框架作为目前最热门的 Java 企业级应用框架,其独有的基于注解的依赖注入模式,以及丰富的集成技术如 JDBC,Hibernate,MyBatis 等,使得 Spring 在各个方面都取得了突破性的进步。
WebSocket连接请求被Spring Security拦截, WebSocket无法连接
luoyongweis的博客
06-16 1万+
使用Spring Security时,Security默认会拦截WebSocket连接,尝试了在 configure(HttpSecurity httpSecurity) 中各种配置还是无效,后来经过尝试,在
Spring Boot整合WebSocket及Spring Security实例
weixin_34174322的博客
05-31 6338
一.为什么需要WebSocket在HTTP协议中,所有请求都是由客户端发起的,由服务端进行响应,服务端无法向客户推送消息,但是在一些需要即时通信的应用中,有不可避免的需要服务端向客户端推送消息,传统的解决方案有如下几种1.轮询轮询是最简单的解决方案,其意义在于,客户端在固定的时间间隔下不停地向服务端发送请求,查看服务端是否有新的数据,若服务端有新的数据,则返回给客户端,若是服务端没有新的数据,则返...
【译】WebSocket 协议第十章——安全性考虑(Security Considerations)
weixin_33939380的博客
02-02 2362
概述 本文为 WebSocket 协议的第九章,本文翻译的主要内容为 WebSocket 扩展相关内容。 有兴趣了解该文档之前几章内容的同学可以见: 【译】WebSocket 协议——摘要( Abstract ) 【译】WebSocket 协议第一章——介绍( Introduction ) 【译】WebSocket 协议第二章——一致性要求( Conformance Requirements )...
解决Springbootwebsocket跨域问题
sinat_34241861的博客
04-16 6115
WebSocketConfig文件 setAllowedOrigins()方法表示允许连接的域名,可实现websocket跨域访问 package com.test.testmanagement.config; import org.springframework.context.annotation.Configuration; import org.springframework.messa...
Spring Boot项目中使用Java原生方式实现websocket
jonssonyan
11-09 824
引言 WebSocket是JavaEE7新支持的: Javax.websocket.server包含注解,类,接口用于创建和配置服务端点 Javax.websocket包则包含服务端点和客户断电公用的注解,类,接口,异常 目录结构 一、Maven依赖 <!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 --> <dependency> <g
spring boot security 配置 WebSocket
变异的程序员博客
04-15 1237
根据大多数网上的介绍到这一步已经可以了,谁能想到这些该天杀的掉了一个配置😤,我自己到这一步就死活连不上。3. 创建socket的连接点配置。
Spring MVC的WebSocket使用
weixin_43415481的博客
03-08 3685
Spring MVC的WebSocket使用 文章目录Spring MVC的WebSocket使用一、WebSocket概述1.1 建立WebSocket基本流程1.2 WebSocket和HTTP的区别二、Spring的WebSocket使用2.1 WebSocket API2.1.1 WebSocketHandler2.1.2 HandshakeInterceptor 和 WebSocketConfigurer2.1.3 设置跨域请求——setAllowedOrigins2.1.4 SockJS支持——
全栈开发——动手打造属于自己的直播间(Vue+SpringBoot+Nginx)
热门推荐
hushangjie的专栏
06-23 1万+
前言大学的学习时光临近尾声,感叹时光匆匆,三年一晃而过。同学们都忙着找工作,我也在这里抛一份简历吧,欢迎各位老板和猎手诚邀。我们进入正题。直播行业是当前火热的行业,谁都想从中分得一杯羹,直播养活了一大批人,一个平台主播粗略估计就有几千号人,但是实时在线观看量有的居然到了惊人的百万级别,特别是游戏主播,可想而知,直播间是一个磁铁式的广告传播媒介,也难怪这么多巨头公司都抢着做直播。我不太清楚直播行业技术
什么是WebSocket
WebSocket是一种在单个TCP连接上进行全双工通信的协议。它提供了一种实时、高效、可靠的通信方式,使得服务器可以主动向客户端推送消息,实现了真正的双向通信。 ## 1.2 WebSocket的历史背景 在Web开发初期,HTTP...
SpringBoot+SpringSecurity+WebSocket
04-11
SpringBoot+SpringSecurity+WebSocket整合Demo
Springboot+Security+webSocket+POI+VUE.rar
11-15
基于springboot2.0+vue的前后端分离系统权限架构,使用Security控制权限,websocket实时聊天,vue编写前端,另包含可执行mysql脚本
跨域的几种方案
CathyleeQ的博客
04-02 1243
文章目录1. 跨域1.1什么是跨域?1.2为什么跨不过去?1.3跨域原理2.跨域的方法2.1 JSONP2.1.1 实现原理2.1.2 实现代码2.1.3缺点2.2 document.domain + iframe跨域2.2.1 实现原理2.2.2 实现代码2.2.3 缺点2.3 window.name2.3.1 实现原理2.3.2 实现代码2.4 CORS2.4.1 实现原理2.4.2 实现代码2.5 proxy代理2.5.1 实现原理2.5.2 实现代码2.6 WebSocket protocol2.6
spring boot security 不拦截_springboot2.1.3整合websocketwebsocket-security支持跨域连接
weixin_39781326的博客
01-14 936
项目地址项目地址:https://gitee.com/xuelingkang/spring-boot-demo完整配置参考com.example.websocket包添加依赖 org.springframework.boot spring-boot-starter-websocket org.springframework.security spring-security-messaging主配置...
springboot2.1.3跨域问题
博学之,审问之,慎思之,明辨之,笃行之
02-29 277
页面问题: Access to XMLHttpRequest at xxx’ from origin ‘http://xx.xx.xx’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. 方式一: 解决方式两种: 全局: @Co...
WebSocket和SpringSecurity的学习记录
最新发布
weighless的博客
01-08 1485
STOMP 提供了一个可互操作的线路格式,允许 STOMP 客户端与任何支持 STOMP 的消息代理进行交互。在客户端,你需要使用一个合适的库来建立 WebSocket 连接。如果你的客户端是一个网页,你可以使用 SockJS 和 STOMP 客户端库。security提供了一个默认的登录页面,在没有登录的情况下所有的请求都会被拦截到该页面,默认的登录名和密码是可以改的在yml配置文件中。接下来,创建一个控制器来处理发送到 WebSocket 的消息。的消息,并将响应发送到。自定义验证**执行顺序。
SpringBootWebSocket添加安全认证与授权功能
AI天才研究院
07-29 2767
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值