Spring STOMP-权限

2024-05-14 22:52
文章标签 java spring 权限 stomp

本文主要是介绍Spring STOMP-权限,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

鉴权

每个基于 WebSocket 的 STOMP 消息会话都以 HTTP 请求开始。这可以是升级到WebSocket的请求(即WebSocket握手),或者在SockJS回退的情况下,可以是一系列的SockJS HTTP传输请求。

许多Web应用程序已经设置了认证和授权以保护HTTP请求的安全。通常情况下,用户通过Spring Security使用某种机制(如登录页面、HTTP基本认证或其它方式)进行认证。认证用户的安全上下文被保存在HTTP会话中,并与同一基于cookie的会话中的后续请求关联。

因此,对于WebSocket握手或SockJS HTTP传输请求,通常已经有一个可通过 HttpServletRequest#getUserPrincipal() 访问的认证用户。Spring会自动将该用户与为他们创建的WebSocket或SockJS会话关联起来,随后使用user header将通过该会话传输的所有 STOMP 消息关联。

简而言之,常规的 Web 应用程序除了已经为安全所做的事情之外不需要做任何事情。用户在HTTP请求级别通过安全上下文进行身份验证,该安全上下文通过基于cookie的HTTP会话维持(随后与为该用户创建的WebSocket或SockJS会话关联),并在每个流经应用程序的 Message 上打上user header信息。

STOMP协议确实在 CONNECT 帧上有 loginpasscode 头部。这些最初是为TCP上的STOMP设计的,并且是必需的。然而,对于基于WebSocket的STOMP,默认情况下,Spring会忽略STOMP协议级别的认证标头,并假定用户已经在HTTP传输级别进行了认证。期望WebSocket或SockJS会话包含已认证的用户信息。

通过token进行鉴权

Spring Security OAuth 提供对基于令牌的安全性的支持,包括 JSON Web Token (JWT)。你可以将其用作 Web 应用程序中的身份验证机制,包括基于 WebSocket 交互的 STOMP,如上一节中所述(即通过基于 cookie 的会话维护身份)。

同时,基于cookie的会话并不总是最适合的(例如,在不维护服务器端会话的应用程序中,或者在通常使用headers进行认证的移动应用程序中)。

WebSocket 协议 RFC 6455“没有规定服务器在 WebSocket 握手期间对客户端进行身份验证的任何特定方式。”然而,实际上,浏览器客户端只能使用标准的认证标头(即基本 HTTP 身份验证)或 cookie,并且不能(例如)提供自定义标头。同样,SockJS JavaScript 客户端不提供通过 SockJS 传输请求发送 HTTP 标头的方法。请参阅 sockjs-client 问题 196。相反,它确实允许发送可用于发送令牌的查询参数,但这有其自身的缺点(例如,令牌可能会无意中与服务器日志中的 URL 一起记录)。

上述限制适用于基于浏览器的客户端,并不适用于基于Spring Java的STOMP客户端,后者确实支持在WebSocket和SockJS请求中发送headers。

Therefore, applications that wish to avoid the use of cookies may not have any good alternatives for authentication at the HTTP protocol level. Instead of using cookies, they may prefer to authenticate with headers at the STOMP messaging protocol level. Doing so requires two simple steps:

因此,希望避免使用 cookie 的应用程序可能没有任何好的替代方案来进行 HTTP 协议级别的身份验证。他们可能更喜欢使用 STOMP 消息传递协议级别的标头进行身份验证,而不是使用 cookie。这样做需要两个简单的步骤:

  1. 在连接时使用STOMP客户端传递认证headers。
  2. 使用ChannelInterceptor处理认证headers。

下一个示例使用服务器端配置来注册自定义认证拦截器。请注意,拦截器只需要在CONNECT Message上进行认证并设置用户header。Spring会记录并保存认证的用户,并将其与同一会话上的后续STOMP消息关联起来。以下示例展示了如何注册自定义认证拦截器:

@Configuration
@EnableWebSocketMessageBroker
public class MyConfig implements WebSocketMessageBrokerConfigurer {@Overridepublic void configureClientInboundChannel(ChannelRegistration registration) {registration.interceptors(new ChannelInterceptor() {@Overridepublic Message<?> preSend(Message<?> message, MessageChannel channel) {StompHeaderAccessor accessor =MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class);if (StompCommand.CONNECT.equals(accessor.getCommand())) {Authentication user = ... ; *// access authentication header(s)*accessor.setUser(user);}return message;}});}
}

另请注意,当你使用 Spring Security 的消息授权时,目前你需要确保身份验证 ChannelInterceptor 配置的顺序先于 Spring Security 的配置。这最好通过在标记有@Order(Ordered.HIGHEST_PRECEDENCE + 99)的自定义实现WebSocketMessageBrokerConfigurer中声明自定义拦截器来完成。

授权

Spring Security提供了WebSocket子协议授权,它使用ChannelInterceptor来根据消息中的用user header对消息进行授权。此外,Spring Session提供了WebSocket集成,确保用户的 HTTP 会话在 WebSocket 会话仍处于活动状态时不会过期。

这篇关于Spring STOMP-权限的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/990081

相关文章

Spring Security常见问题及解决方案

《SpringSecurity常见问题及解决方案》SpringSecurity是Spring生态的安全框架,提供认证、授权及攻击防护,支持JWT、OAuth2集成,适用于保护Spring应用,需配置... 目录Spring Security 简介Spring Security 核心概念1. ​Securit

SpringBoot+EasyPOI轻松实现Excel和Word导出PDF

《SpringBoot+EasyPOI轻松实现Excel和Word导出PDF》在企业级开发中,将Excel和Word文档导出为PDF是常见需求,本文将结合​​EasyPOI和​​Aspose系列工具实... 目录一、环境准备与依赖配置1.1 方案选型1.2 依赖配置(商业库方案)二、Excel 导出 PDF

SpringBoot改造MCP服务器的详细说明(StreamableHTTP 类型)

《SpringBoot改造MCP服务器的详细说明(StreamableHTTP类型)》本文介绍了SpringBoot如何实现MCPStreamableHTTP服务器,并且使用CherryStudio... 目录SpringBoot改造MCP服务器(StreamableHTTP)1 项目说明2 使用说明2.1

spring中的@MapperScan注解属性解析

《spring中的@MapperScan注解属性解析》@MapperScan是Spring集成MyBatis时自动扫描Mapper接口的注解,简化配置并支持多数据源,通过属性控制扫描路径和过滤条件,利... 目录一、核心功能与作用二、注解属性解析三、底层实现原理四、使用场景与最佳实践五、注意事项与常见问题六

Spring的RedisTemplate的json反序列泛型丢失问题解决

《Spring的RedisTemplate的json反序列泛型丢失问题解决》本文主要介绍了SpringRedisTemplate中使用JSON序列化时泛型信息丢失的问题及其提出三种解决方案,可以根据性... 目录背景解决方案方案一方案二方案三总结背景在使用RedisTemplate操作redis时我们针对

Java中Arrays类和Collections类常用方法示例详解

《Java中Arrays类和Collections类常用方法示例详解》本文总结了Java中Arrays和Collections类的常用方法,涵盖数组填充、排序、搜索、复制、列表转换等操作,帮助开发者高... 目录Arrays.fill()相关用法Arrays.toString()Arrays.sort()A

Spring Boot Maven 插件如何构建可执行 JAR 的核心配置

《SpringBootMaven插件如何构建可执行JAR的核心配置》SpringBoot核心Maven插件,用于生成可执行JAR/WAR,内置服务器简化部署,支持热部署、多环境配置及依赖管理... 目录前言一、插件的核心功能与目标1.1 插件的定位1.2 插件的 Goals(目标)1.3 插件定位1.4 核

如何使用Lombok进行spring 注入

《如何使用Lombok进行spring注入》本文介绍如何用Lombok简化Spring注入,推荐优先使用setter注入,通过注解自动生成getter/setter及构造器,减少冗余代码,提升开发效... Lombok为了开发环境简化代码,好处不用多说。spring 注入方式为2种,构造器注入和setter

使用zip4j实现Java中的ZIP文件加密压缩的操作方法

《使用zip4j实现Java中的ZIP文件加密压缩的操作方法》本文介绍如何通过Maven集成zip4j1.3.2库创建带密码保护的ZIP文件,涵盖依赖配置、代码示例及加密原理,确保数据安全性,感兴趣的... 目录1. zip4j库介绍和版本1.1 zip4j库概述1.2 zip4j的版本演变1.3 zip4

Java堆转储文件之1.6G大文件处理完整指南

《Java堆转储文件之1.6G大文件处理完整指南》堆转储文件是优化、分析内存消耗的重要工具,:本文主要介绍Java堆转储文件之1.6G大文件处理的相关资料,文中通过代码介绍的非常详细,需要的朋友可... 目录前言文件为什么这么大?如何处理这个文件?分析文件内容(推荐)删除文件(如果不需要)查看错误来源如何避