Spring WebSocket 认证与授权:掌控安全通道,迈向巅峰之旅!

最新推荐文章于 2024-05-09 14:34:12 发布
最新推荐文章于 2024-05-09 14:34:12 发布
阅读量1.8k 收藏 2
点赞数 3
分类专栏: 后端 文章标签: spring websocket 安全 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55756734/article/details/133136190
版权

一、需要了解的事项

  • http和WebSocket的安全链和安全配置是完全独立的。
  • SpringAuthenticationProvider根本不参与 Websocket 身份验证。
  • 将要给出的示例中,身份验证不会发生在 HTTP 协商端点上,因为 JavaScript STOMP(websocket)库不会随 HTTP 请求一起发送必要的身份验证标头。
  • 一旦在 CONNECT 请求上设置,用户( simpUser) 将被存储在 websocket 会话中,并且以后的消息将不再需要进行身份验证。

二、依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-websocket</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-messaging</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-messaging</artifactId>
</dependency>

三、WebSocket 配置

3.1 、简单的消息代理

@Configuration
@EnableWebSocketMessageBroker
public class WebSocketConfig extends WebSocketMessageBrokerConfigurer {
    @Override
    public void configureMessageBroker(final MessageBrokerRegistry config) {
        config.enableSimpleBroker("/queue/topic");
        config.setApplicationDestinationPrefixes("/app");
    }

    @Override
    public void registerStompEndpoints(final StompEndpointRegistry registry) {
        registry.addEndpoint("stomp"); 
        setAllowedOrigins("*")
    }
}

3.2 、Spring安全配置

由于 Stomp 协议依赖于第一个 HTTP 请求,因此需要授权对 stomp 握手端点的 HTTP 调用。

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(final HttpSecurity http) throws Exception
        http.httpBasic().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests().antMatchers("/stomp").permitAll()
                .anyRequest().denyAll();
    }
}

然后创建一个负责验证用户身份的服务。

@Component
public class WebSocketAuthenticatorService {
    public UsernamePasswordAuthenticationToken getAuthenticatedOrFail(final String  username, final String password) throws AuthenticationException {
        if (username == null || username.trim().isEmpty()) {
            throw new AuthenticationCredentialsNotFoundException("Username was null or empty.");
        }
        if (password == null || password.trim().isEmpty()) {
            throw new AuthenticationCredentialsNotFoundException("Password was null or empty.");
        }
    
        if (fetchUserFromDb(username, password) == null) {
            throw new BadCredentialsException("Bad credentials for user " + username);
        }

      
        return new UsernamePasswordAuthenticationToken(
                username,
                null,
                Collections.singleton((GrantedAuthority) () -> "USER") // 必须给至少一个角色
        );
    }
}

接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。

@Component
public class AuthChannelInterceptorAdapter extends ChannelInterceptor {
    private static final String USERNAME_HEADER = "login";
    private static final String PASSWORD_HEADER = "passcode";
    private final WebSocketAuthenticatorService webSocketAuthenticatorService;

    @Inject
    public AuthChannelInterceptorAdapter(final WebSocketAuthenticatorService webSocketAuthenticatorService) {
        this.webSocketAuthenticatorService = webSocketAuthenticatorService;
    }

    @Override
    public Message<?> preSend(final Message<?> message, final MessageChannel channel) throws AuthenticationException {
        final StompHeaderAccessor accessor = MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class);

        if (StompCommand.CONNECT == accessor.getCommand()) {
            final String username = accessor.getFirstNativeHeader(USERNAME_HEADER);
            final String password = accessor.getFirstNativeHeader(PASSWORD_HEADER);

            final UsernamePasswordAuthenticationToken user = webSocketAuthenticatorService.getAuthenticatedOrFail(username, password);

            accessor.setUser(user);
        }
        return message;
    }
}

请注意:preSend() 必须返回 UsernamePasswordAuthenticationToken,Spring 安全链中会对此进行测试。如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予权限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。

最后再创建两个类来分别处理授权和身份验证。

@Configuration
@Order(Ordered.HIGHEST_PRECEDENCE + 99)
public class WebSocketAuthenticationSecurityConfig extends  WebSocketMessageBrokerConfigurer {
    @Inject
    private AuthChannelInterceptorAdapter authChannelInterceptorAdapter;
    
    @Override
    public void registerStompEndpoints(final StompEndpointRegistry registry) {
        // 这里不用给任何东西
    }

    @Override
    public void configureClientInboundChannel(final ChannelRegistration registration) {
        registration.setInterceptors(authChannelInterceptorAdapter);
    }

}

请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。

@Configuration
public class WebSocketAuthorizationSecurityConfig extends AbstractSecurityWebSocketMessageBrokerConfigurer {
    @Override
    protected void configureInbound(final MessageSecurityMetadataSourceRegistry messages) {
        // 添加自己的映射
        messages.anyMessage().authenticated();
    }

    // 这里请自己按需求修改
    @Override
    protected boolean sameOriginDisabled() {
        return true;
    }
}

之后编写客户端进行连接,我们就可以这样指定客户端进行消息的发送。

  @MessageMapping("/greeting")
    public void greetingReturn(@Payload Object ojd){
         simpMessagingTemplate.convertAndSendToUser(username,"/topic/greeting",ojd);
    }
尘缘..
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
SpringBoot为WebSocket添加安全认证授权功能
禅与计算机程序设计艺术
07-29 2433
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证授权功能提供了开箱即用的解决方案。
spring-websocket-angular6:将Spring Websocket和Angular与Stomp消息一起使用的示例
05-01
Spring WebSocket Angular6 该项目的目的是提供angular6客户端和spring应用程序之间的通知/消息服务的完整示例。 有许多使用SockJS的客户端示例,但是直接使用javascript而不是使用angular的客户端()。 该项目...
Spring中的Websocket身份验证和授权
一起学习一起进步~
08-09 1781
如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予权限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。
SpringBoot整合SpringSecurity+JWT实现web应用中的认证授权
最新发布
weixin_61779644的博客
05-09 1034
Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更 丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
Websocket实现token认证方式
Cain的博客
07-26 9216
websocket token认证
spring security netty websocket 用户认证
qq_21134059的博客
08-15 527
WebSocket客户端连接到服务器时,服务器会通过拦截器进行用户认证,并将认证结果保存到SecurityContextHolder中。然后,在Web```在上面的配置中,定义了“/ws/**”路径需要进行认证,其他路径不需要认证。使用inMemoryAuthentication方法添加了一个用户"user"和密码"password",并赋予了"ROLE_USER"角色。在该拦截器中,可以获取到连接的HTTP请求,并使用Spring Security来进行用户认证
spring-websocket-js:具有springjavascript的基本websocket应用程序
02-12
spring-websocket-js 一个带有springjavascript的基本websocket应用程序 运行命令 要启动该应用程序,请从终端在项目的根目录中运行follwoing maven命令: mvn spring-boot:run 注意:您的默认Java版本应与pom....
spring-websocket-template:用于使用spring配置websocket的模板项目
02-04
春天websocket模板 提供用于websocket使用的模板(带有和不带有SockJS支持) 该项目提供2个模块: without-sockjs :与 without-sockjs websocket集成 with-sockjs :Websocket与集成为后端, 为前端。 请查阅以...
spring-websocket-test:SpringWebsocket测试
05-25
Springwebsocket测试
springws:基于SpringMVC实现的WebSocket工程实例
05-10
Spring-ws基于SpringMVC实现的支持SockJS的WebSocket工程实例说明本项目为maven项目,使用SpringMVC实现,用于展示如果使用 SockJS。项目启动后直接打开对应的端口在首页就可以看到展示的功能。后端在"/echo"上添加...
spring boot+vue+websocket带token身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
java - websocket配合spring-security使用token认证_个人文章 - SegmentFault 思否
热爱科学、文人、计算机
12-30 1080
java - websocket配合spring-security使用token认证_个人文章 - SegmentFault 思否
使用 Sa-Token 解决 WebSocket 握手身份认证
shengzhang_的博客
02-14 4859
WebSocket 中集成 Sa-Token 身份认证,保证连接的安全性……
WebSocket配合Spring security oauth2实现另类的权限验证
zhuwei_clark的博客
01-14 3975
第一步:token在路由地址中进行传输 @ServerEndpoint(value = "/ws/{token}",encoders = { ServerEncoder.class }) @Component public class OrganHandler extends AbstractHandler{ /** * 连接 * @param session ...
WebSocket通信协议应用安全问题分析
weixin_33975951的博客
08-01 1503
WebSocket是HTML5开始提供的一种浏览器与服务器间进行全双工通讯的网络技术。WebSocket通信协议于2011年被IETF定为标准RFC 6455,WebSocket API也被W3C定为标准,主流的浏览器都已经支持WebSocket通信。 WebSocket协议是基于TCP协议上的独立的通信协议,在建立WebSocket通信连接前,需要使...
SpringBoot整合webSocket并增加用户权限验证
July_whj
10-07 1万+
SpringBoot整合webSocket并增加用户权限验证 1、网站中的消息功能如何实现 思考:像这样的消息功能怎么实现? 如果网页不刷新,服务端有新消息如何推送到浏览器? 解决方案,采用轮询的方式。即:通过js不断的请求服务器,查看是否有新数据,如果有,就获取到新数据。 这种解决方法是否存在问题呢? 当然是有的,如果服务端一直没有新的数据,那么js也是需要一直的轮询查询数据,这就是一种资源的浪费。 那么,有没有更好的解决方案? 有!那就是采用WebSocket技术来解决。 2、什么是WebSocket
Spring WebSocket使用token认证连接
热门推荐
lnkToKing的博客
10-25 2万+
2018年3月6日 新增完成开发说明,移步:http://blog.csdn.net/lnktoking/article/details/78678406 后台代码配置: /** * WebSocket配置 * @author lnkToKing */ @Configuration /* * 开启使用STOMP协议来传输基于代理(message broker)的消息 * 启用后控制器...
websocket单向认证和双向认证
qq_41787494的博客
05-07 3022
WS协议和WSS协议两个均是WebSocket协议的SCHEM,两者一个是非安全的,一个是安全的。也是统一的资源标志符。其中WSS协议需要SSL证书。WS和WSS的体现形式分别是TCP+WS AS WS ,TCP+TLS+WS AS WS。WSS 是 Web Socket Secure 的简称, 它是 WebSocket 的加密版本. WebSocket 中的数据是不加密的, 但是不加密的数据很容易被别有用心的人窃取, 因此为了保护数据安全, 将 WebSocket 与 SSL 结合, 实现了安全的 Web
spring websocket
09-01
Spring WebSocketSpring框架提供的一种支持实时双向通信的功能。它基于WebSockets协议,允许服务器端和客户端之间建立持久性的连接,以实现实时的数据传输。 使用Spring WebSocket可以轻松地构建基于WebSocket的应用程序,例如聊天应用程序、实时通知等。 要使用Spring WebSocket,你可以按照以下步骤进行操作: 1. 添加Spring WebSocket依赖:在你的项目中添加Spring WebSocket的依赖,例如通过Maven或Gradle进行配置。 2. 配置WebSocket端点:创建一个配置类,继承自`AbstractWebSocketMessageBrokerConfigurer`,并重写`registerStompEndpoints()`方法。该方法用于注册WebSocket端点。你可以指定一个或多个端点,并配置相关的选项。 3. 配置消息代理:创建一个配置类,继承自`AbstractWebSocketMessageBrokerConfigurer`,并重写`configureMessageBroker()`方法。该方法用于配置消息代理,定义消息的发送和接收路径。 4. 编写WebSocket处理器:创建一个处理WebSocket消息的处理器类,实现`WebSocketHandler`接口。你可以处理连接建立、消息接收、连接关闭等事件。 5. 编写前端代码:在前端页面上使用JavaScript代码,通过WebSocket连接到服务器,并发送和接收消息。 通过上述步骤,你就可以在Spring框架中使用WebSocket实现双向通信了。具体的代码实现可以参考Spring官方文档或相关的教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尘缘..

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值