WebSocket的用户身份认证

最新推荐文章于 2024-05-23 15:55:43 发布
最新推荐文章于 2024-05-23 15:55:43 发布
阅读量2.1w 收藏 14
点赞数 2
分类专栏: 服务器安全 文章标签: WebSocket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41973131/article/details/84875191
版权

关于Session认证的探索

使用环境

SpringBoot 2.x, Spring 4.x

碰到的问题

由于WebSocket是基于TCP的一种独立实现,跟HTTP没什么关系。在WebSocket进行权限验证时无法拿到Tomcat内置的session

解决方案

既然不能从Tomcat中拿到需要session,那倒可以在用户登陆时先将用户session用Map存储起来,后面便可以在WebSocket中利用Map拿到相应的用户信息。

首先需要一个用来存储Session的Map容器,使用了单例模式保证有唯一实例,并且使用Map存储了JSESSIONID以及相应的HttpSession

public class SessionContext {
    private static SessionContext instance;
    private Map<String, HttpSession> map;

    private SessionContext() {
        map = new HashMap<>();
    }

    public static SessionContext getInstance() {
        if (instance == null) {
            instance = new SessionContext();
        }
        return instance;
    }

    synchronized void AddSession(HttpSession session) {
        if (session != null) {
            map.put(session.getId(), session);
        }
    }

    synchronized void DelSession(HttpSession session) {
        if (session != null) {
            map.remove(session.getId());
        }
    }

    public synchronized HttpSession getSession(String session_id) {
        if (session_id == null) return null;
        return map.get(session_id);
    }
}

为此需要,一个HttpSession监听器,监听Session的创建与销毁,并相应新增与删除Map集合中的键值对:

@WebListener
public class SessionListener implements HttpSessionListener {
    private SessionContext sessionContext = SessionContext.getInstance();

    public void sessionCreated(HttpSessionEvent httpSessionEvent) {
        log.info("创建Session");
        sessionContext.AddSession(httpSessionEvent.getSession());
    }

    public void sessionDestroyed(HttpSessionEvent httpSessionEvent) {
        HttpSession session = httpSessionEvent.getSession();
        sessionContext.DelSession(session);
    }
}

最后使用一个WebSocket拦截器,在连接之前进行用户身份的认证:

@Service
public class WebSocketInterceptor implements HandshakeInterceptor {
    @Override
    public boolean beforeHandshake(ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse,
                                   WebSocketHandler webSocketHandler, Map<String, Object> map) {
        
        log.info("webSocket握手请求...");

        if (serverHttpRequest instanceof ServletServerHttpRequest) {
            ServletServerHttpRequest servletRequest = (ServletServerHttpRequest) serverHttpRequest;
            
            // 得到放在url后面的JSESSIONID
            String jSessionId = servletRequest.getServletRequest().getParameter("JSESSIONID");
            
            // 得到Map单例类实例
            SessionContext sessionContext = SessionContext.getInstance();
            // 得到用户session
            HttpSession httpSession = sessionContext.getSession(jSessionId);
            if (null != httpSession) {
                User user = (User) httpSession.getAttribute("user");
                if (null != user) {
                    // 通过
                    return true;
                }
            }
            
            // 拦截该连接
            return false;
    }

    @Override
    public void afterHandshake(ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse,
                               WebSocketHandler webSocketHandler, Exception e) {
        log.info("webSocket握手结束...");
    }
}
请求header认证

若系统使用spring-session-redis进行Session的管理,可以使用请求header验证

配置HttpSessionConfig配置类:

@EnableRedisHttpSession(maxInactiveIntervalInSeconds= 1800)
public class HttpSessionConfig {
    @Bean
    public HeaderHttpSessionIdResolver httpSessionStrategy() {
        return new HeaderHttpSessionIdResolver("x-auth-token");
    }
}

此时可以发现登陆后返回的 header头部信息中含有x-auth-token参数,将该参数作为请求头文件即可使用session验证。同时该参数为session的id,可以根据redis的spring:session:sessions:+ sessionId拿去到相应的用户信息。

目前使用存在许多问题,包括每次发起请求服务器都会存储一个session并返回该session的Id,长此以往,redis将被一堆无用session填满。因此还没有找到一个适合的能够替代上面的解决方法,如果有好的方法欢迎留言。
以清楚原因:有想了解的点击跳转

拓展

SpringSession

利用Spring Session可以使得Session脱离Tomcat本地的限制,在分布式系统上可以很轻松地实现Session共享。

JSON Web Token

除了Session认证,JWT认证也不失为一个好方案,能够实现单点登录以及用户认证。

服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。

{
    "userId":1,
    "userPhone":1213213123
}

用户与服务器通信时,服务器根据JSON对象判断用户身份,同时为了防止用户用户篡改数据,利用加密算法生成签名,并附在一个字符串中并返回给用户。

利用JWT认证服务器可以不用存储Session数据,减少了内存的负担。但还是存在着许多问题,包括:

  • 敏感信息不能使用JWT传递
  • JWT是无状态的导致服务器无法及时注销或修改用户信息,一旦JWT签发了,除非服务器部署额外的逻辑,否则在到期之前就会始终有效。
  • JWT续签问题
吃琛了
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
websocket登录验证_php-laravel框架用户验证(Auth)模块解析(一)
weixin_40009099的博客
11-27 922
一、初始化使用php artisan命令进行初始化:php artisan make:auth 和 php artisan migrate(该命令会生成users表、password_resets表)php artisan make:auth 会修改/生成多个文件:1)routes/web.php 和 app/Http/Controllers/HomeController.php //注册、...
websocket如何区分用户_SpringBoot入门建站全系列(二十七)WebSocket做简单的聊天室...
weixin_42310891的博客
12-31 811
SpringBoot入门建站全系列(二十七)WebSocket做简单的聊天室一、概述WebSocket 是一种网络通信协议。RFC6455 定义了它的通信标准。 WebSocket 是 HTML5 开始提供的一种在单个 TCP 连接上进行全双工通讯的协议。HTTP 协议是一种无状态的、无连接的、单向的应用层协议。它采用了请求/响应模型。通信请求只能由客户端发起,服务端对请求做出应答处理。 这种通信...
日常记录:springboot 给websocket 添加拦截、认证(二)
qq_16430873的博客
09-02 4898
springboot 给websocket 添加拦截、认证,stomp协议的消息拦截。
vue3使用WebSocket实现实时判断用户登录状态
最新发布
翱翔-蓝天
05-23 431
如果你还没有 WebSocket 库,可以安装一个,比如。:在服务器端实现一个 WebSocket 服务,用于处理用户登录状态的管理。这里假设你已经有一个 WebSocket 服务在运行。socket.js。
Websocket实现token认证方式
Cain的博客
07-26 9350
websocket token认证
软件工程课程汇报--服务端如何感知用户端的存在
qwe14325的博客
11-08 938
服务器端如何感知用户端的存在
Golang 搭建 WebSocket 应用(四) - jwt 认证
rubys007的博客
01-19 1509
JWT是的缩写,是一种用于在网络中安全传递信息的开放标准。它是一种紧凑且自包含的方式,用于在各方之间传递信息,通常用于身份验证和授权机制。JWT主要由三个部分组成:头部(Header): 包含关于令牌的元数据,例如令牌的类型(typ)和签名算法(alg头部是一个JSON对象,通常会经过Base64编码。载荷(Payload): 包含要传递的信息,通常包括用户身份信息以及其他声明。载荷也是一个JSON对象,同样经过Base64编码。签名(Signature。
spring boot+vue+websocket带token身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
websocket向指定用户发信息
03-01
3. **消息路由**:发送消息时,服务器需要知道目标用户的身份。因此,消息中应包含接收者的用户标识。这样,服务器可以根据标识找到对应连接,并将消息发送到该连接。 4. **心跳与断线重连**:为了确保连接的有效性...
若依WebSocket集成
04-01
6. **安全性**:在实际应用中,你还需要考虑WebSocket的安全性,例如使用JWT令牌验证用户身份,限制非法连接,以及使用SSL/TLS加密通信以保护数据安全。 以上就是若依框架中集成WebSocket的基本步骤和关键知识点。...
WebSocket区分不同客户端两种方法(HttpSession和@PathParam)
04-19
WebSocket区分不同客户端两种方法(HttpSession和@PathParam)
conference:一种WebRTC信令服务器,支持MQTT和WebSocket作为传输协议,基于令牌的身份验证(JSON Web令牌)和基于外部策略的授权
04-12
会议 基于WebRTC的会议媒体服务器。 执照 源代码是根据条款提供。
Spring+STOMP实现WebSocket广播订阅、权限认证、一对一通讯
11-06
Spring+STOMP实现WebSocket广播订阅、权限认证、一对一通讯
websocket群发和指定用户
11-16
这通常需要一个用户身份验证机制,以确保只有授权的用户可以发送和接收消息。 在实际开发中,还需要考虑以下几点: 1. 连接管理:处理客户端断线重连,避免消息丢失。 2. 消息队列:当消息发送频繁时,可能需要引入...
websocket-access-service:一种利用 websockets 提供用户身份验证的非传统访问服务
06-21
一种利用 websockets 提供用户身份验证的非传统访问服务。 介绍 Websocket 访问服务使用和共享密钥来接受或拒绝对资源的访问。 它旨在与现有的多通道消息传递中心(如但也可与其他消息传递系统一起使用。 安装 ...
npm
qq_26642611的博客
09-11 222
npm 在没有npm之前程序员们是怎么共享代码的呢? 通过网址来共享代码 比如你需要jQuery你就需要去jQuery官网下载,放到自己的页面上使用 通过GitHub提供代码供人们下载 这样做的缺点是什么呢? 当一个网站依赖的代码越来越多,程序员发现这是一件很麻烦的事情: 去 jQuery 官网下载 jQuery 去 BootStrap 官网下载 BootStrap 去 Underscore 官网下载 Underscore …… 有些程序员就受不鸟了,一个拥有三大美德的程序员 Isaac Z. Schlue
websocket获取session,同步登录用户信息,解决session为空null与session不一致问题
qq_39900047的博客
10-20 7498
websocket获取session,websocket中session为null等情况
android端WebSocket实现双向认证
qq_20119499的博客
12-02 1146
前言 最近有一个需求是在android端实现webSocket的双向认证,一开始用到了Java-WebSocket的框架来实现,但是有个问题是在高版本的Android手机上运行是正常,但是在Android6.0的魅族和OPPO手机上却验证失败了,报错CertPathValidatorException: Trust anchor for certification path not found,应该就是证书问题了,网上找了一些方法,但是依然无效 public static X...
springboot websocket token身份认证
07-15
### 回答1: Spring Boot是一个开源的Java框架,用于快速开发基于Spring的应用程序。它提供了许多功能和工具,其中包括支持WebSocket的功能。 WebSocket是一种用于实现双向通信的协议,在Web应用程序中可以用于实时通信和数据推送。在Spring Boot中使用WebSocket可以轻松地实现实时通信功能。 要实现基于token的身份认证,可以按照以下步骤进行: 1. 创建一个WebSocket处理程序:在Spring Boot中,可以使用@ServerEndpoint注解创建一个WebSocket处理程序。在该处理程序中,可以定义onOpen、onMessage、onClose和onError等方法来处理WebSocket连接的生命周期事件。 2. 创建一个Token认证过滤器:可以使用Spring Security框架来实现基于token的身份认证。创建一个Token认证过滤器,将其配置为在WebSocket连接建立之前进行身份认证。 3. 在WebSocket处理程序中验证token:在WebSocket处理程序的onOpen方法中,可以获取到WebSocket连接的会话对象。可以使用这个会话对象来获取到发送的token,并将其验证。 4. 发送认证结果:根据token的验证结果,可以发送不同的消息给客户端。如果验证成功,则可以发送连接成功的消息给客户端;如果验证失败,则可以发送连接失败的消息给客户端。 通过以上步骤,就可以实现基于token的身份认证了。客户端在建立WebSocket连接时,需要将token作为参数发送给服务器。服务器在接收到连接请求后,会进行身份认证,根据认证结果发送相应的消息给客户端。 使用Spring Boot和WebSocket实现基于token的身份认证,可以让应用程序更安全和可靠。同时,使用Spring Security可以提供更多的身份认证和授权功能,进一步增强应用程序的安全性。 ### 回答2: Spring Boot提供了一个强大的WebSocket支持,可以非常方便地实现Token身份认证。 要实现WebSocket的Token身份认证,首先需要创建一个WebSocket处理程序,可以通过实现`WebSocketHandler`接口或者继承`TextWebSocketHandler`类来实现。然后,可以使用`@Component`注解将该处理程序注册为Spring组件。 接下来,我们需要对WebSocket进行配置,可以创建一个类继承自`WebSocketConfigurer`接口,并实现其中的`registerWebSocketHandlers`方法。在这个方法中,我们可以指定处理程序的路径,并添加自定义的拦截器,用于Token的身份认证。 在拦截器中,可以通过WebSocket握手时的`HandshakeInterceptor`,在`afterHandshake`方法中进行身份认证逻辑的处理。可以通过获取WebSocket握手的`HttpServletRequest`和`HttpServletResponse`,来获取和验证Token。如果Token验证通过,则可以继续进行握手,并返回true;否则,可以拒绝握手,返回false。 在身份认证通过后,可以通过`WebSocketSession`发送和接收消息。在发送消息时,可以通过`sendMessage`方法发送消息给指定的WebSocket会话;在接收消息时,可以通过实现`WebSocketHandler`接口的`handleTextMessage`方法来处理接收到的消息。 总结起来,要实现Spring Boot WebSocket的Token身份认证,需要创建WebSocket处理程序,配置WebSocket,添加拦截器进行Token验证,并在处理程序中处理收发消息的逻辑。这样,我们就可以在Spring Boot中实现带有Token身份认证WebSocket功能了。 ### 回答3: Spring Boot提供了一种简便的方式来实现WebSocket身份认证,可以使用Token来验证用户身份。下面是一个简单的实现步骤。 首先,需要在Spring Boot项目中配置WebSocket,并添加相关依赖。可以通过在pom.xml文件中添加以下依赖来引入WebSocket支持: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-websocket</artifactId> </dependency> ``` 接下来,创建一个WebSocket配置类,继承自`AbstractWebSocketMessageBrokerConfigurer`类,并覆盖其中的方法。在`registerStompEndpoints()`方法中,可以设置WebSocket的端点和消息传输方式: ```java @Configuration @EnableWebSocketMessageBroker public class WebSocketConfig extends AbstractWebSocketMessageBrokerConfigurer { @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/websocket").withSockJS(); } @Override public void configureMessageBroker(MessageBrokerRegistry registry) { registry.enableSimpleBroker("/topic"); registry.setApplicationDestinationPrefixes("/app"); } } ``` 然后,在WebSocket处理类中,可以实现`WebSocketConfigurer`接口,通过重写其中的方法来进行身份验证。在`registerWebSocketHandlers()`方法中,可以设置拦截器来验证Token: ```java @Configuration public class WebSocketHandlerConfig implements WebSocketConfigurer { @Autowired private WebSocketInterceptor webSocketInterceptor; @Override public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) { registry.addHandler(myHandler(), "/websocket") .addInterceptors(webSocketInterceptor) .setAllowedOrigins("*"); } @Bean public WebSocketHandler myHandler() { return new MyHandler(); } } ``` 在拦截器`WebSocketInterceptor`中,可以在用户连接WebSocket之前验证Token的有效性,例如检查Token是否过期、用户是否存在等: ```java @Component public class WebSocketInterceptor implements HandshakeInterceptor { @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) throws Exception { // 根据Token验证用户身份 // 如果验证失败,可以使用response返回错误信息,然后返回false拒绝连接 // 如果验证成功,可以在attributes中存储用户信息,以便后面使用 return true; } @Override public void afterHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Exception exception) { } } ``` 最后,在处理WebSocket消息的类中,可以通过获取用户信息来实现对特定用户的消息推送等操作: ```java @Component public class MyHandler extends TextWebSocketHandler { @Override public void afterConnectionEstablished(WebSocketSession session) throws Exception { // 根据用户信息保存WebSocketSession等操作 } @Override protected void handleTextMessage(WebSocketSession session, TextMessage message) throws Exception { // 处理用户传输的消息 } } ``` 通过以上方式,可以实现在Spring Boot中使用Token进行WebSocket身份认证。根据具体的需求,可以定制化处理用户信息、Token验证等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值