oauth2关于websocket携带token的探讨

最新推荐文章于 2024-05-24 13:45:47 发布
最新推荐文章于 2024-05-24 13:45:47 发布
阅读量5.5k 收藏 27
点赞数 11
分类专栏: 希望你的java比你的中文还要好 微服务 java基础细节 文章标签: websocket java 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43277309/article/details/123129650
版权

oauth2关于websocket携带token的探讨

一、简述

前段时间,公司有个技术需求是做一个实时在线沟通功能,在遵循**合适、简单、演化**的原则下,我决定采用websocket技术。在此之前我对于websocket的了解仅限于《深入浅出springboot2.x》这本书里面很局限的知识,以及B站上某个一小时的视频。但实际上和项目进行整合时,仍然要解决各种问题。如、oauth2 token携带、依赖注入、对象入参出参等问题。针对这些问题,寻求对应的解决方案。

二、关于websocket请求携带token

原有项目采用的认证安全框架是spring security + oauth2,对于大部分请求,是需要在请求头携带token来实现的。同样的websocket只要携带了对应的authorization=Bearer +token也是可以正常建立连接的。但是比较坑的点就是通过vue js的方式没法指定对应的请求头的key(但通过postman是可以的),也就是意味着websocket没法这样子携带authorization=Bearer +token来建立连接了。针对这个问题,我提供了以下几种解决方案的思路。

2.1、通过websocket下的子协议来实现

可以尝试切换啊至Stomp这个协议来实现,前端采用SocketJs框架来实现对应定制请求头。实现携带authorization=Bearer +token 的需求,这样就可以正常建立连接

2.2、资源服务器放开请求路径。

针对websocket的请求,我们可以在oauth2的资源服务器选择放开此类请求,但是这样就意味着你任何websocket请求,不用携带任何token就可以访问,这又有什么意义呢?当然如果您不在乎的话,也不是不可以。

.antMatchers("/login", "/websocket/**")
.permitAll()

2.3、请求参数上携带access_token=token

我们虽然不能自定义请求头的key,但是我们可以自定义请求参数,只要携带了access_token=token,也能通过oauth2的授权。我们将进行其核心源码的分析,看一下oath2是如何将用户信息加载但security上下文的。

BearerTokenExtractor.java

public class BearerTokenExtractor implements TokenExtractor {

	private final static Log logger = LogFactory.getLog(BearerTokenExtractor.class);

	@Override
	public Authentication extract(HttpServletRequest request) {
		
        
        /**获取对应的token**/
        String tokenValue = extractToken(request);
		if (tokenValue != null) {
			PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
			return authentication;
		}
		return null;
	}

    /**
        这个方法的本质就是获取token 先去请求头中获取token,如果为null,再去请求头的
           access_token中获取, OAuth2AccessToken.ACCESS_TOKEN就是access_token
    **/
	protected String extractToken(HttpServletRequest request) {
		// first check the header...
		String token = extractHeaderToken(request);

		// bearer type allows a request parameter as well
		if (token == null) {
			logger.debug("Token not found in headers. Trying request parameters.");
			token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);
			if (token == null) {
				logger.debug("Token not found in request parameters.  Not an OAuth2 request.");
			}
			else {
				request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_TYPE, OAuth2AccessToken.BEARER_TYPE);
			}
		}

		return token;
	}

	/**
	 * Extract the OAuth bearer token from a header.
	 *  从请求头中获取对应的token
	 * @param request The request.
	 * @return The token, or null if no OAuth authorization header was supplied.
	 */
	protected String extractHeaderToken(HttpServletRequest request) {
		Enumeration<String> headers = request.getHeaders("Authorization");
		while (headers.hasMoreElements()) { // typically there is only one (most servers enforce that)
			String value = headers.nextElement();
			if ((value.toLowerCase().startsWith(OAuth2AccessToken.BEARER_TYPE.toLowerCase()))) {
				String authHeaderValue = value.substring(OAuth2AccessToken.BEARER_TYPE.length()).trim();
				// Add this here for the auth details later. Would be better to change the signature of this method.
				request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_TYPE,
						value.substring(0, OAuth2AccessToken.BEARER_TYPE.length()).trim());
				int commaIndex = authHeaderValue.indexOf(',');
				if (commaIndex > 0) {
					authHeaderValue = authHeaderValue.substring(0, commaIndex);
				}
				return authHeaderValue;
			}
		}

		return null;
	}

}

简单分析一下,oauth2中获取token,并且将其加入到springsecurity的上下文的过程,本质是先从请求头上线获取,如果获取不到,再去请求参数上获取。所以只要将token放在对应的请求头上就行了。

2.4、请求websocket的请求头中携带sec-websocket-protocol=Bearer +token

对于有些强迫症比较严重的开发人员,觉得我就是不想在请求路径上携带token,就是想在请求头上携带token,那么接下来这种方式可能能够暂时满足你,虽然前端vue不能自定义请求头key,但是websocket允许请求头里面携带一个key为,sec-websocket-protocol的参数。那么我们可以做以下几步来实现。

  1. 前端人员在请求头上携带sec-websocket-protocol=Bearer +token

  2. 后台在请求到达oauth2之前进行拦截,然后将在请求头上添加Authorization=Bearer +token(key首字母大写),然后在响应头(respone)上添加sec-websocket-protocol=Bearer +token(不添加会报错)。

这样我们就完成了请求头上携带token的方法。相应的代码如下。

RequestReplaceFilter.java

package com.linkyoyo.bill.web;

import cn.hutool.core.util.StrUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.http.MediaType;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.validation.constraints.NotNull;
import java.io.BufferedReader;
import java.io.IOException;

@Order(Ordered.HIGHEST_PRECEDENCE)
@Component
@Slf4j
public class RequestReplaceFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(@NotNull HttpServletRequest request, @NotNull HttpServletResponse response, @NotNull FilterChain filterChain) throws ServletException, IOException {

        String contentType = request.getContentType();

        request = this.addTokenForWebSocket(request, response);

        filterChain.doFilter(request, response);
    }

    private HttpServletRequest addTokenForWebSocket(HttpServletRequest request, HttpServletResponse response) { ;
        String token = request.getHeader("authorization");
        if(StrUtil.isNotBlank(token)) {
            return request;
        }
        HeaderMapRequestWrapper requestWrapper = new HeaderMapRequestWrapper(request);
        token = request.getHeader("sec-websocket-protocol");
        if(StrUtil.isBlank(token)) {
            return request;
        }
        requestWrapper.addHeader("Authorization", token);
        response.addHeader("sec-websocket-protocol", token);
        return  requestWrapper;
    }
}

HeaderMapRequestWrapper.java 这个是从网上复制下来的。

package com.linkyoyo.bill.web;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.*;

/**
 * @author 罗富晓 [295006967@qq.com]
 * @date 2022/2/21 15:24
 */

public class HeaderMapRequestWrapper extends HttpServletRequestWrapper {
    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request The request to wrap
     * @throws IllegalArgumentException if the request is null
     */
    public HeaderMapRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    private Map<String, String> headerMap = new HashMap();

    public void addHeader(String name, String value) {
        headerMap.put(name, value);
    }

    public void removeHeader(String name) {
        headerMap.remove(name);
    }

    @Override
    public String getHeader(String name) {
        String headerValue = super.getHeader(name);
        if (headerMap.containsKey(name)) {
            headerValue = headerMap.get(name);
        }
        return headerValue;
    }

    /**
     * get the Header names
     */
    @Override
    public Enumeration<String> getHeaderNames() {
        List<String> names = Collections.list(super.getHeaderNames());
        for (String name : headerMap.keySet()) {
            names.add(name);
        }
        return Collections.enumeration(names);
    }

    @Override
    public Enumeration<String> getHeaders(String name) {
        List<String> values = Collections.list(super.getHeaders(name));
        if (headerMap.containsKey(name)) {
            values.add(headerMap.get(name));
        }
        return Collections.enumeration(values);
    }
}

三、后续有时间再补充

我也是秃头猿猿
关注
  • 11
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Websocket实现token认证方式
Cain的博客
07-26 9323
websocket token认证
前端在WebSocket中加入Token
weixin_47793340的博客
02-06 3702
WebSocket通信中加入Token主要是为了实现身份验证和授权,确保只有经过验证的用户可以建立WebSocket连接。由于WebSocket API本身不支持直接在连接时设置HTTP头部,因此需要采用一些变通的方法来传递Token
前端如何在 WebSocket 的请求头中使用标准 HTTP 头携带 Authorization 信息,添加请求头
最新发布
wow~
05-24 1233
WebSocket 的请求头(header)中如何携带 authorization
Spring WebSocket 应用,鉴权token,多个页面访问同一个websocket
weixin_39263573的博客
08-10 6861
Spring WebSocket 应用,鉴权token 解决了1:建立连接成功后立即被关闭; 2:一个用户token下 多个页面访问同一个websocket不成功的
js websocket建立连接时发送token给后端发送不了
wzq1915414095的博客
04-13 1588
第一种方式,是降token明文携带在url中,当然很多人可能觉得这种方法不够安全,也不够优雅。 那第二种方式就是利用子协议数组,将token携带在protocols里, var ws = new WebSocket(url, ["token1"]); 但是放在protocols的数据格式是有要求的,那就是不能有特殊符合,例如分号 作者就是被这个坑了,调试了好久,目前不知道是否还有其他符号不能传输,反正传 abcdefg1212121这个是可以传的,当然了后端得开放类似跨域请求的配置,就是 Sec-WebS
学习风`宇blog的websocket模块
pscool的博客
04-16 1116
这个类基本上处理了websocket的几乎所有逻辑,每当有一个新的连接进来时,都会创建一个新的WebSocketServiceImpl对象,并且回调@OnOpen标识的方法,@OnOpen方法可以声明Session 和 EndpointConfig 类型参数,Session将会被存储起来,用于后面与客户端进行双向通信。websocket服务端和客户端之间发送的消息内容,使用json格式,它必须先指明消息类型,然后对方得到消息类型后,就能根据该消息类型做相应的处理。
websocket-spring-react:有关使用React和Spring Boot Oauth2在用户之间发送通知的Websocket的示例
05-09
Spring Boot Websocket + React:带有Web套接字的用户通知此示例将说明如何通过Web套接字将通知发送给特定的登录用户(由access_token定义)。 例如,如果您尝试使用ReactJS来实现实时用户通知系统,该功能可能会很...
物联网技术指南:物联网技术指南---从零构建高性能物联网平台及物联网解决方案和Thingsboard子系统分析(物联网平台,SaaS,MQTT,CoAP,HTTP,Modbus,OPC,WebSocket,物模型, Protobuf,PostgreSQL,MongoDB,Spring Security,OAuth2,RuleEngine,Kafka,Docker)
02-03
:maple_leaf:出色的IOT技术教程,代码主要源于国外开源物联网平台和对阿里云物联网平台的感悟 | :open_book:从0构建高性能IoT平台和实践 a。《预习篇》 物联网正处于元年,赶紧学习起来吧! 物联网平台是物联网架构...
portara-website:Portara仪表板控制器可更改速率限制设置,而无需重新部署您的应用程序
04-15
门户网站 ... 如果需要在不重新部署应用程序的情况下更改设置,这将是有益的... portara : portara ( "ENTER YOUR TOKEN HERE" ) } } ) 服务器启动后,就可以直接连接到网站和您的帐户。 现在,您可以在线更改在typeDef
python调用百度语音识别api
12-23
最近在处理语音检索相关的事。...2 (程序实现)通过已知的 应用的 API Key 以及 Secret Key, 发送post 请求到 https://openapi.baidu.com/oauth/2.0/token 获取 token 3 (程序实现) 通过上步骤获取的 toke
本项目基于Spring平台,整合websocket协议,实现一个简易web聊天室的功能
08-14
这通常涉及到JWT(JSON Web Token)或者OAuth2等认证方式。 总的来说,"Spring-websocket-master"项目是一个结合了Spring框架和WebSocket技术的Web聊天室应用,它展示了如何在Spring环境下实现实时通信功能,对于...
WebSocket连接异常】前端使用WebSocket子协议传递token时,Java后端的正确打开方式!!!
weixin_65837702的博客
04-12 1662
在使用 cookie-session 验证用户登录状态和上下线状态时,服务器重启重启会导致存储在内存的 session 消失,因此用户后续的任何请求都可能触发拦截器的拦截操作,需重新进行登录才能正常进行后续的操作。而对于使用 token 来代替 cookie-session,虽然触发 HTTP 请求的操作能够做到 “用户无感知”,即服务器因某种原因重启后,用户不用二次登录依然可以完成操作;
websocket如何携带header或参数
热门推荐
weixin_44330810的博客
09-16 4万+
websocket如何携带header或参数
websocket
fxnfk
04-09 214
websocket todo TCP 跨源通信 websocket是一种应用层的网络协议,可在单个TCP连接上进行全双工通信。 WebSocket是独立的、创建在TCP上的协议。 WebSocket通过HTTP/1.1协议的101状态码进行握手。 客户端请求: GET / HTTP/1.1 Upgrade: websocket Connection: Upgrade Host: example.c...
websocket 里面添加 Token
qq_36437172的博客
07-13 7066
websocket协议在握手阶段借用了HTTP的协议,我们有以下方法,添加参数: 1.send发送参数 // 建立连接 initSocket() { this.webSocket = new WebSocket(url) this.webSocket.onopen = this.webSocketOnOpen }, // 建立连接成功后的状态 webSocketOnOpe...
html5+go+websocket不到150行代码,实现一个在线实时聊天的功能
qq_39962403的博客
03-06 1346
在了解什么是websocket之前,我们下说一说http,因为HTTP我们太熟了。我们知道,HTTP是一种基于应用层的网络协议,往往都是一个请求,一个相应。websocket呢,也是一种基于应用层的网络协议,但是它不仅可以实现请求-相应这种模式,还可以实现主动推送,即你不请求,我也可以给你发消息通知。它实现了浏览器与服务器之间的双工通信。浏览器和服务器只需要完成一次握手,两者就可以创建一个持续的链接。
uni-app 使用WebSocket监听并响应
W_H_M_S的博客
12-08 2120
uni-app 使用WebSocket监听并响应后端开放端口uni-app(app端)websocket-uni.js使用时 后端开放端口 @Configuration @EnableWebSocketMessageBroker public class WebSocketConfiguration implements WebSocketMessageBrokerConfigurer { @Autowired private TokenProvider tokenProvider;
websocket 获取连接id_WebSocket实战之——携带Token验证绑定clientId到uid(微信)(示例代码)...
weixin_39996134的博客
12-19 1639
WebSocket TestvarwsUri= "ws://120.26.220.223:8283";varoutput;varclientId;functioninit() {output=document.getElementById("output");testWebSocket();websocket.send("hello \n");}functiontestWebSocket() {w...
vue websocket携带token
09-04
在Vue中,通过WebSocket携带Token的方法有多种。 首先,您可以通过在请求参数中携带access_token=token来将Token传递给WebSocket请求。这可以在连接WebSocket时将Token作为参数传递给服务器。 其次,您可以在请求头中携带authorization=Bearer token来建立连接。这将在Websocket请求的请求头中设置对应的Authorization字段,以便服务器进行身份验证。 另外,您还可以使用WebSocket的子协议来实现Token携带。通过在WebSocket请求中指定子协议,服务器可以根据子协议进行身份验证。 需要注意的是,在使用Vue的方式中,可能无法直接指定请求头的key来携带authorization=Bearer token。这可能会导致无法通过Vue的方式直接传递Token进行连接。但是,您可以通过其他方式,如Postman等工具,来指定请求头进行连接。 综上所述,您可以在Vue中通过在请求参数、请求头或子协议中携带Token来建立WebSocket连接。具体选择哪种方式取决于您的需求和服务器的要求。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [oauth2关于websocket携带token探讨](https://blog.csdn.net/weixin_43277309/article/details/123129650)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值