springboot整合websocket进行鉴权遇到的问题

已于 2023-03-08 16:12:14 修改
阅读量2.4k 收藏 13
点赞数 3
分类专栏: 踩过的坑 文章标签: spring boot websocket java
于 2023-03-08 16:09:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44317349/article/details/129405707
版权

一、问题背景

之前项目遇到过的问题,就是需要通过websocket给前端和小程序推送数据。因为nginx和wss的问题就不提,终于是通信连上并能发送接收数据了。但是之后有遇到一个需要鉴权的问题,之前用websocket没怎么考虑到鉴权的问题,正常使用起来好像也没有办法带token来过权限,都是直接把security解开来用。

二、自己的想法

一开始首先想到的就是在后面多带几个参数,通过@PathParam取出来只来进行验证,最简单的例如传个明文和一个密文,拿到后对比确认后,才把session放入集合里,再进行发送数据。但是后来想了一下,这样还是不可避免的会被别人连接上也防止不了别人推送数据上来,所以还是不行。

三、网上看到的方法

之前是通过@ServerEndpoint注入的:

@Configuration
public class WebSocketConfig //implements WebSocketConfigurer
{
   

    /**
     * 使用spring boot时,使用的是spring-boot的内置容器,
     * 如果要使用WebSocket,需要注入ServerEndpointExporter
     *
     * @return
     */
    @Bean
    public ServerEndpointExporter serverEndpointExporter() {
   
        return new ServerEndpointExporter();
    }
}

@ServerEndpoint(value="/ocwebsocket/{username}")
@Component
@Slf4j
public class WebsocketService {
   
}

在网上看到了一个方法,是设置拦截器,实现HandshakeInterceptor接口,然后在config里面重写registerWebSocketHandlers方法,把拦截器和文字数据处理都设置进去。拦截器里还是用两个参数一个明文一个密文进行比对判断是否有权限连接。

@Component
public class MyHandshakeInterceptor implements HandshakeInterceptor {
   
    /**
     * 握手之前,若返回false,则不建立链接 *
     *
     * @param request
     * @param response
     * @param wsHandler
     * @param attributes
     * @return
     */
    @Override
    public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse
            response, WebSocketHandler wsHandler, Map<String, Object> attributes) {
   
        //将用户id放入socket处理器的会话(WebSocketSession)中
        ServletServerHttpRequest serverHttpRequest = (ServletServerHttpRequest) request;
        //获取参数
        String userId = serverHttpRequest.getServletRequest().getParameter("userId");
        String sign = serverHttpRequest.getServletRequest().getParameter("sign");

        attributes.put("uid", userId);
        attributes.put("sign", sign);
        //可以在此处进行权限验证,当用户权限验证通过后,进行握手成功操作,验证失败返回false
        if (
最低0.47元/天 解锁文章
coderMoriarty
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
SpringBootWebSocket添加安全认证与授权功能
禅与计算机程序设计艺术
07-29 2530
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring BootWebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
springboot-websocket:SpringBoot整合WebSocket
05-26
本项目"springboot-websocket"主要关注的是如何在SpringBoot应用中整合WebSocket,以实现实时推送或者双向通信的需求。以下将详细介绍整合过程中的关键知识点: 1. **WebSocket协议**:WebSocket协议是基于TCP的,...
Springboot WebSocket鉴权,前处理(添加过滤器)
钟健的博客
04-13 8772
Springboot WebSocket鉴权,前处理(添加过滤器)
Web前端最全聊聊OkHttp实现WebSocket细节,包括鉴权和长连接保活及其原理!,最新2024年Web前端大厂面试经验
最新发布
2401_84411557的博客
05-17 787
在建立连接前,客户端还需要知道服务端的地址,WebSocket 并没有另辟蹊径,而是沿用了 HTTP 的 URL 格式,但协议标识符变成了 “ws” 或者 “wss”,分别表示明文和加密的 WebSocket 协议,这一点和 HTTP 与 HTTPS 的关系类似。当完成握手连接后,客户端和服务端均可以主动的发起请求,回复响应,并且两边的传输都是相互独立的。内容包括html,css,JavaScript,ES6,计算机网络,浏览器,工程化,模块化,Node.js,框架,数据结构,性能优化,项目等等。
Spring WebSocket 应用,鉴权token,多个页面访问同一个websocket
weixin_39263573的博客
08-10 6903
Spring WebSocket 应用,鉴权token 解决了1:建立连接成功后立即被关闭; 2:一个用户token下 多个页面访问同一个websocket不成功的
WebSocket 鉴权策略与技巧详解
LiamHong_的博客
11-24 2739
通过本文的介绍,你应该对WebSocket鉴权有了更清晰的认识。不同的鉴权方式各有优劣,你可以根据具体情况选择最适合自己项目的方式。在保障通信安全的同时,也能提供更好的用户体验。
springBoot集成webSocket,包含鉴权,同一用户多点登录
weixin_43650829的博客
10-18 1225
springBoot集成webSocket,包含鉴权,同一用户多点登录
Spring中的Websocket身份验证和授权
一起学习一起进步~
08-09 1862
如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予权限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。
SpringBoot整合WebSocket+nacos注册中心
01-07
通过这样的整合SpringBoot项目不仅可以利用WebSocket提供实时通信能力,还可以借助Nacos实现服务的动态管理和通信,极大地提升了微服务架构的灵活性和可扩展性。在实际开发中,还需要考虑异常处理、性能优化以及与...
springboot整合websocket
02-03
SpringBoot 整合 WebSocket SpringBoot 是一个基于 Java 的开源框架,提供了一个快速构建生产级别的应用程序的方法。WebSocket 是一种网络通信协议,允许服务器推送数据到客户端,实时地更新客户端的内容。下面将...
springboot+websocket分布式实现
11-17
综上所述,“springboot+websocket分布式实现”涉及到的主要技术包括WebSocket协议、SpringBootWebSocket支持、Redis消息队列以及Spring Session和Spring Cloud的分布式会话管理。通过这些技术的组合,可以构建出...
spring boot+vue+websocket带token身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
conference:一种WebRTC信令服务器,支持MQTT和WebSocket作为传输协议,基于令牌的身份验证(JSON Web令牌)和基于外部策略的授权
04-12
会议 基于WebRTC的会议媒体服务器。 执照 源代码是根据条款提供。
Spring+STOMP实现WebSocket广播订阅、权限认证、一对一通讯
11-06
Spring+STOMP实现WebSocket广播订阅、权限认证、一对一通讯
springboot+websocket进度条实战
11-11
在本项目中,"springboot+websocket进度条实战"是一个基于Spring Boot框架和WebSocket技术的实战应用,旨在展示如何在Web应用程序中实现一个实时的进度条功能。Spring Boot简化了Java Web开发,提供了快速构建独立...
使用 Sa-Token 解决 WebSocket 握手身份认证
shengzhang_的博客
02-14 4980
WebSocket 中集成 Sa-Token 身份认证,保证连接的安全性……
SpringBootSpring-security、WebSocket整合WebSocket带token加入Spring-security认证机制
qq_37470526的博客
08-06 5894
背景 项目里边有个模块首页会显示一些汇总信息,有部分信息需要进行实时更新,因此想到使用WebSocket进行长连接,进入后便链接后台,然后后台根据需求(定时、数据有更新)给前台反馈数据,从而达到一次链接,一直通信的功能。避免了前端轮询调用带来的资源消耗。 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、
Java实现WebSocket
热门推荐
站在墙头上的博客
10-31 1万+
Java实现WebSocket1.WebSocket2.基于Java实现WebSocket的开发1.config配置2.Server 的实现3.client的实现4.websocket鉴权配置类 1.WebSocket 平时开发的时候,对于一些平常的需求是不会使用基于WebSocket开发的需求。但是在一些特定场景,比如:主动推送,模拟聊天等等,因为WebSocket建立等实际上是一个长链接。 2.基于Java实现WebSocket的开发 代码方面很简单。 1.config配置 @Configuration
spring cloud gateway中对websocket进行动态鉴权
zzk_01的博客
07-19 1569
微服务中对webosocket进行动态鉴权
springboot整合websocket进行 推送文件
04-24
要使用Spring Boot整合WebSocket进行文件推送,您可以按照以下步骤操作: 1. 引入WebSocket依赖 在pom.xml文件中添加以下依赖: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coderMoriarty

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值