Spring WebSocket 应用,鉴权token,多个页面访问同一个websocket

最新推荐文章于 2024-05-17 05:44:42 发布
最新推荐文章于 2024-05-17 05:44:42 发布
阅读量6.8k 收藏 38
点赞数 3
文章标签: spring websocket java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39263573/article/details/126276427
版权

目录

1、SpringBoot+WebSocket没有token鉴权

2、WebSocket通过url鉴权token (postman可测试成功)

3、WebSocket通过 自定义协议 "sec-websocket-protocol"鉴权

        

         4、解决困扰我很久的问题

本人是看过这些博客后,在实际应用中总结出来的,遇到的问题也很多,但是站在巨人的肩膀上就是会少走弯路!!!感谢!!

spring boot 集成 websocket 的四种方式 - 简书

实战 | spring boot 集成 websocket 的四种方式_mb6140060e201b0的技术博客_51CTO博客

WebSocket实现鉴权方案__alone_的博客-CSDN博客_websocket 鉴权

cookie、token与xss、csrf攻击 - 下一秒钟已经不同 - 博客园

1、SpringBoot+WebSocket没有token鉴权

原生注解部分

①、pom文件——注入websocket依赖;

②、websocketConfig配置文件——添加ServerEndpointExporter配置bean

③、接收连接的类WebSocketServer——加上@ServerEndpoint注解用来配置ws访问的地址信息,并实现onOpen、onClose、onMessage、onError等方法;

这里的CopyOnWriteArraySet<WebSocketServer>

concurrent包的线程安全Set,用来存放每个客户端对应的MyWebSocket对象。这里不管用户开了几个页面来与websocket接口建立连接,存进set的都是不同的session,互相不会影响。

另外看过很多博客说加了@ServerEndpoint加了注解后,同时连接多个页面的时候有冲突,,靠加注解@Scope("prototype") 单例变多例来解决,这样不一定能解决问题,我建议大家有时间还是先分析自己的程序。像set<对象>的时候就不会出现这种情况(毕竟每次存进set中的对象是不同的)。

④、基类——包括返回给前端的各种数据;

⑤、service层——写三个图对应的业务逻辑代码;

⑥、TimeTask——实现定时任务,浏览器与服务器建立连接后,后端定时向前端sendMessage。

2、WebSocket通过url鉴权token (postman可测试成功)

Spring封装

① pom文件——注入websocket依赖;

② config配置类——通过向 WebSocketHandlerRegistry 设置不同参数来进行配置。其中 addHandler 方法添加我们上面的写的 ws 的 handler 处理类,第二个参数是你暴露出的 ws 路径。addInterceptors 添加我们写的握手过滤器。setAllowedOrigins("*") 这个是关闭跨域校验,方便本地调试,线上推荐打开。

③ interceptor拦截器——HandshakeInterceptor 接口来定义握手拦截器,这里是建立握手时的事件,分为握手前与握手后

④ Manager业务类——这里简单通过 ConcurrentHashMap 来实现了一个 session 池,用来保存已经登录的 web socket 的 session。服务端发送消息给客户端必须要通过这个 session。

这个地方要注意的!!!一个用户token下 多个页面访问同一个websocket的情况

这里的map应该存的是token鉴权 Map<token,session>,若是同一个用户同时连接多个websocket接口 ,那么每个接口的token和session都会进入这个map,又因为同一个用户的token是相同的,那么map的hash值相同的情况下,只有最后一组接口才能进入map ,也就是说只有最后一个websocket接口能成功连接。

这里的解决办法是①前端改成一个大的接口包含所有数据结果,然后监听返回给多个小接口,测试可行;②后端将map中的session,改为List<session>。我看过很多博客说加注解@Scope("prototype") 单例变多例的情况,亲测没用。

主要是interceptor程序中,握手前在获取token的时候从parameter获取,postman的测试结果也在下图

// 通过URL获得请求参数
ServletServerHttpRequest serverHttpRequest = (ServletServerHttpRequest) request;
Object token = serverHttpRequest.getServletRequest().getParameter("token");

众所周知,放参数在url上,多少沾点不安全,比如 xss csrf 攻击。

xss:用户通过各种方式将恶意代码注入到其他用户的页面中。就可以通过脚本获取信息,发起请求,之类的操作。

csrf:跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。csrf并不能够拿到用户的任何信息,它只是欺骗用户浏览器,让其以用户的名义进行操作。

3、WebSocket通过 自定义协议 "sec-websocket-protocol"鉴权

大部分程序还是基于第二步 Spring 封装

主要是interceptor程序中,握手前,采用自定义协议header获得token

String token = serverHttpRequest.getServletRequest().getHeader("Sec-WebSocket-Protocol");

重点来了!!!这里写完handler类中的建立连接方法 afterConnectionEstablished 确实会走,这里给人造成一种连接成功的假象,其实会立马跳到断开连接方法 afterConnectionClosed,并告诉你failed。解决办法来了!!!

在服务端接受方式(WebSocketInterceptor中 beforeHandshake方法中)加上这行代码

serverHttpResponse.getServletResponse().setHeader("Sec-WebSocket-Protocol", authorization);

public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) {
        ServletServerHttpRequest serverHttpRequest = (ServletServerHttpRequest) request;
        ServletServerHttpResponse serverHttpResponse = (ServletServerHttpResponse) response;
        String authorization = serverHttpRequest.getServletRequest().getHeader("Sec-WebSocket-Protocol");
        //这里对获取到的 authorization 授权码进行业务校验如 jwt 校验
        //...
        //在后端握手时设置一下请求头(Sec-WebSocket-Protocol),前端发来什么授权值,这里就设置什么值,不设置会报错导致建立连接成功后立即被关闭
        serverHttpResponse.getServletResponse().setHeader("Sec-WebSocket-Protocol", authorization);
        log.info("start shaking hands->>>");
        return true;
    }

浏览器测试的失败和成功页面。

绝了!!!

4、解决困扰我很久的问题

1:建立连接成功后立即被关闭;

2:一个用户token下 多个页面访问同一个websocket不成功的

Kristen+U
关注
  • 3
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
SpringBootWebSocket添加安全认证与授权功能
禅与计算机程序设计艺术
07-29 2496
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
springboot整合websocket进行鉴权遇到的问题
weixin_44317349的博客
03-08 2416
websocket鉴权的两种方法
Websocket实现token认证方式
Cain的博客
07-26 9323
websocket token认证
springboot整合webSocket鉴权,心跳检测,wss请求,nginx配置、集群部署
qq_35683545的博客
07-07 5618
从nginx配置看,进行了负载均衡,服务进行了集群部署,项目部署在多台机器上,如此,当一个客户端用户和一台机器建立了链接,客户端自然是不会再去和其他机器建立连接,同时一般建立连接成功时,还会断开旧的连接,这样就不能和新的机器建立连接。其中要监听listen 80端口,尤其注意的是要注意这下面2个配置必须加上,否则建立连接成功立刻就会断掉。注意,使用wss调用需要在nginx配置ssl证书,否则部署到服务器是无法建立websocket连接的。收到客户端发送到服务器发给接收者的消息时,
Web前端最全聊聊OkHttp实现WebSocket细节,包括鉴权和长连接保活及其原理!,最新2024年Web前端大厂面试经验
最新发布
2401_84411557的博客
05-17 760
在建立连接前,客户端还需要知道服务端的地址,WebSocket 并没有另辟蹊径,而是沿用了 HTTP 的 URL 格式,但协议标识符变成了 “ws” 或者 “wss”,分别表示明文和加密的 WebSocket 协议,这一点和 HTTP 与 HTTPS 的关系类似。当完成握手连接后,客户端和服务端均可以主动的发起请求,回复响应,并且两边的传输都是相互独立的。内容包括html,css,JavaScript,ES6,计算机网络,浏览器,工程化,模块化,Node.js,框架,数据结构,性能优化,项目等等。
WebSocket 鉴权策略与技巧详解
LiamHong_的博客
11-24 2624
通过本文的介绍,你应该对WebSocket鉴权有了更清晰的认识。不同的鉴权方式各有优劣,你可以根据具体情况选择最适合自己项目的方式。在保障通信安全的同时,也能提供更好的用户体验。
WebSocket实现鉴权方案
qq_38531706的博客
06-18 1万+
目录一、springboot+websocket搭建1.1.使用依赖1.2.WebSocketInterceptor鉴权拦截器1.3.MyWebSocketHandler处理器1.4.WebSocketConfig配置1.5.前端连接二、websocket鉴权方案2.1.url传参方案2.2.websocket头字段Sec-WebSocket-Protocol传参 WebSocket是一种在单个TCP连接上进行全双工通信的协议。它使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据
Springboot WebSocket鉴权,前处理(添加过滤器)
钟健的博客
04-13 8747
Springboot WebSocket鉴权,前处理(添加过滤器)
.net websocket 获取http登录的用户_Spring Boot集成WebSocket实战
weixin_32236415的博客
12-30 640
程序新视界:一个“软实力”、“硬技术”同步成长的平台。WebSocket简介WebSocket协议是由HTML5定义的,基于TCP协议实现的一种网络协议,它实现了客户端与服务器全双工通信。也就是说通过该协议服务器可以主动发送信息给客户端。何谓全双工信息只能单向传送为单工;信息能双向传送但不能同时双向传送称为半双工,信息能够同时双向传送则称为全双工。基本实现原理WebSocket协议基于T...
java websocket订阅_java WebSocket的实现以及Spring WebSocket示例代码
weixin_39638057的博客
02-23 1256
开始学习WebSocket,准备用它来实现一个在页面实时输出log4j的日志以及控制台的日志。首先知道一些基础信息:1.java7 开始支持WebSocket,并且只是做了定义,并未实现2.tomcat7及以上,jetty 9.1及以上实现了WebSocket,其他容器没有研究3.spring 4.0及以上增加了WebSocket的支持4.spring 支持STOMP协议的WebSocket通信5...
springcloud getway 示例 包含 网关 http websocket 两种转发包含网关JWT鉴权包含Clie
08-05
EurekaApplication Eureka也可以不用 gateway可直接转发外部的服务 PtGatewayApplication ...http可以通过网页模拟 (开启鉴权之后需要postman在header中添加token才能通过鉴权) 导入之后 maven跑完即可完整运行
spring boot+vue+websockettoken身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
本项目基于Spring平台,整合websocket协议,实现一个简易web聊天室的功能
08-14
总的来说,"Spring-websocket-master"项目是一个结合了Spring框架和WebSocket技术的Web聊天室应用,它展示了如何在Spring环境下实现实时通信功能,对于学习WebSocketSpring集成的开发者来说是一个很好的实践案例。...
SpringBoot整合WebSocket+nacos注册中心
01-07
1. 添加WebSocket依赖:在`pom.xml`中引入Spring Websocket相关依赖,如`spring-boot-starter-websocket`。 2. 配置WebSocket:在`application.yml`或`application.properties`中配置WebSocket的相关端点,如`...
Websockettoken发起连接
热门推荐
华灯初上
08-04 1万+
今天碰到一个需要在连接websocket服务时提交token的业务场景,无奈websocket不支持同时提交header,翻阅官方文档时候发现了可以携带一个自定义协议,我们可以通过将token存放在自定义协议中达到提交token的目的。 根据文档,我们调整下代码: //请务必注意,协议提交的是一个字符串数组类型。 var socket = new WebSocket('wss://url',['用户的token']); 好,这样我们的前端改造就完成了,简单吧~。 接下来就是后端的取值.
websocket增加鉴权整合springboot
qq_35757427的博客
10-27 698
【代码】websocket增加鉴权java后端实现以及vue前端调用。
SpringBoot整合WebSocket和JWT(token)步骤以及注意事项
m0_56007820的博客
08-24 5481
SpringBoot整合WebSocket和JWT(token)步骤以及注意事项。 基于token的拦截器
springBoot集成webSocket,包含鉴权,同一用户多点登录
weixin_43650829的博客
10-18 1217
springBoot集成webSocket,包含鉴权,同一用户多点登录
SpringCloud WebSocket怎么监听Token过期
06-02
Spring Cloud中,可以使用Spring Security框架来实现Token的认证和授权,同时也可以使用WebSocket来实现实时通信功能。下面介绍如何在Spring Cloud中使用WebSocket来监听Token过期: 1. 配置WebSocketSpring Cloud项目中,需要配置WebSocket以支持实时通信功能。在配置类上加上@EnableWebSocket注解,然后注册一个WebSocketHandler,用于处理WebSocket连接和消息。 ```java @Configuration @EnableWebSocket public class WebSocketConfig implements WebSocketConfigurer { @Override public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) { registry.addHandler(myHandler(), "/myHandler").setAllowedOrigins("*"); } @Bean public WebSocketHandler myHandler() { return new MyHandler(); } } ``` 2. 获取TokenWebSocket的处理器中,可以使用Spring Security提供的SecurityContextHolder来获取当前用户的认证信息。从认证信息中可以获取到Token的信息,包括Token的过期时间。 ```java public class MyHandler extends TextWebSocketHandler { @Override public void afterConnectionEstablished(WebSocketSession session) throws Exception { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); String token = ((OAuth2Authentication) authentication).getOAuth2Request().getRequestParameters().get("access_token"); OAuth2AccessToken accessToken = tokenStore.readAccessToken(token); if (accessToken == null || accessToken.isExpired()) { // Token已过期,向前端发送一个消息 session.sendMessage(new TextMessage("Token已过期,请重新登录!")); } } } ``` 需要注意的是,这里的OAuth2Authentication和tokenStore需要根据具体的实现进行调整。 3. 实现Token过期监听 在WebSocket的处理器中,需要实现Token过期的监听功能。可以使用Spring Security提供的OAuth2AccessToken来判断Token是否过期,如果过期,则向前端发送一个消息。 ```java public class MyHandler extends TextWebSocketHandler { @Override public void afterConnectionEstablished(WebSocketSession session) throws Exception { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); String token = ((OAuth2Authentication) authentication).getOAuth2Request().getRequestParameters().get("access_token"); OAuth2AccessToken accessToken = tokenStore.readAccessToken(token); if (accessToken == null || accessToken.isExpired()) { // Token已过期,向前端发送一个消息 session.sendMessage(new TextMessage("Token已过期,请重新登录!")); } } @Override public void handleTransportError(WebSocketSession session, Throwable exception) throws Exception { if (exception instanceof OAuth2AccessTokenExpiredException) { // Token已过期,向前端发送一个消息 session.sendMessage(new TextMessage("Token已过期,请重新登录!")); } else { super.handleTransportError(session, exception); } } } ``` 需要注意的是,这里的OAuth2AccessTokenExpiredException是Spring Security框架提供的异常类,用于表示Token已过期。当WebSocket连接出现异常时,可以通过捕获OAuth2AccessTokenExpiredException来判断Token是否过期。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值