Spring STOMP-权限

2024-05-14 22:52
文章标签 java spring 权限 stomp

本文主要是介绍Spring STOMP-权限,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

鉴权

每个基于 WebSocket 的 STOMP 消息会话都以 HTTP 请求开始。这可以是升级到WebSocket的请求(即WebSocket握手),或者在SockJS回退的情况下,可以是一系列的SockJS HTTP传输请求。

许多Web应用程序已经设置了认证和授权以保护HTTP请求的安全。通常情况下,用户通过Spring Security使用某种机制(如登录页面、HTTP基本认证或其它方式)进行认证。认证用户的安全上下文被保存在HTTP会话中,并与同一基于cookie的会话中的后续请求关联。

因此,对于WebSocket握手或SockJS HTTP传输请求,通常已经有一个可通过 HttpServletRequest#getUserPrincipal() 访问的认证用户。Spring会自动将该用户与为他们创建的WebSocket或SockJS会话关联起来,随后使用user header将通过该会话传输的所有 STOMP 消息关联。

简而言之,常规的 Web 应用程序除了已经为安全所做的事情之外不需要做任何事情。用户在HTTP请求级别通过安全上下文进行身份验证,该安全上下文通过基于cookie的HTTP会话维持(随后与为该用户创建的WebSocket或SockJS会话关联),并在每个流经应用程序的 Message 上打上user header信息。

STOMP协议确实在 CONNECT 帧上有 loginpasscode 头部。这些最初是为TCP上的STOMP设计的,并且是必需的。然而,对于基于WebSocket的STOMP,默认情况下,Spring会忽略STOMP协议级别的认证标头,并假定用户已经在HTTP传输级别进行了认证。期望WebSocket或SockJS会话包含已认证的用户信息。

通过token进行鉴权

Spring Security OAuth 提供对基于令牌的安全性的支持,包括 JSON Web Token (JWT)。你可以将其用作 Web 应用程序中的身份验证机制,包括基于 WebSocket 交互的 STOMP,如上一节中所述(即通过基于 cookie 的会话维护身份)。

同时,基于cookie的会话并不总是最适合的(例如,在不维护服务器端会话的应用程序中,或者在通常使用headers进行认证的移动应用程序中)。

WebSocket 协议 RFC 6455“没有规定服务器在 WebSocket 握手期间对客户端进行身份验证的任何特定方式。”然而,实际上,浏览器客户端只能使用标准的认证标头(即基本 HTTP 身份验证)或 cookie,并且不能(例如)提供自定义标头。同样,SockJS JavaScript 客户端不提供通过 SockJS 传输请求发送 HTTP 标头的方法。请参阅 sockjs-client 问题 196。相反,它确实允许发送可用于发送令牌的查询参数,但这有其自身的缺点(例如,令牌可能会无意中与服务器日志中的 URL 一起记录)。

上述限制适用于基于浏览器的客户端,并不适用于基于Spring Java的STOMP客户端,后者确实支持在WebSocket和SockJS请求中发送headers。

Therefore, applications that wish to avoid the use of cookies may not have any good alternatives for authentication at the HTTP protocol level. Instead of using cookies, they may prefer to authenticate with headers at the STOMP messaging protocol level. Doing so requires two simple steps:

因此,希望避免使用 cookie 的应用程序可能没有任何好的替代方案来进行 HTTP 协议级别的身份验证。他们可能更喜欢使用 STOMP 消息传递协议级别的标头进行身份验证,而不是使用 cookie。这样做需要两个简单的步骤:

  1. 在连接时使用STOMP客户端传递认证headers。
  2. 使用ChannelInterceptor处理认证headers。

下一个示例使用服务器端配置来注册自定义认证拦截器。请注意,拦截器只需要在CONNECT Message上进行认证并设置用户header。Spring会记录并保存认证的用户,并将其与同一会话上的后续STOMP消息关联起来。以下示例展示了如何注册自定义认证拦截器:

@Configuration
@EnableWebSocketMessageBroker
public class MyConfig implements WebSocketMessageBrokerConfigurer {@Overridepublic void configureClientInboundChannel(ChannelRegistration registration) {registration.interceptors(new ChannelInterceptor() {@Overridepublic Message<?> preSend(Message<?> message, MessageChannel channel) {StompHeaderAccessor accessor =MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class);if (StompCommand.CONNECT.equals(accessor.getCommand())) {Authentication user = ... ; *// access authentication header(s)*accessor.setUser(user);}return message;}});}
}

另请注意,当你使用 Spring Security 的消息授权时,目前你需要确保身份验证 ChannelInterceptor 配置的顺序先于 Spring Security 的配置。这最好通过在标记有@Order(Ordered.HIGHEST_PRECEDENCE + 99)的自定义实现WebSocketMessageBrokerConfigurer中声明自定义拦截器来完成。

授权

Spring Security提供了WebSocket子协议授权,它使用ChannelInterceptor来根据消息中的用user header对消息进行授权。此外,Spring Session提供了WebSocket集成,确保用户的 HTTP 会话在 WebSocket 会话仍处于活动状态时不会过期。

这篇关于Spring STOMP-权限的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/990081

相关文章

一文详解SpringBoot中控制器的动态注册与卸载

《一文详解SpringBoot中控制器的动态注册与卸载》在项目开发中,通过动态注册和卸载控制器功能,可以根据业务场景和项目需要实现功能的动态增加、删除,提高系统的灵活性和可扩展性,下面我们就来看看Sp... 目录项目结构1. 创建 Spring Boot 启动类2. 创建一个测试控制器3. 创建动态控制器注

Java操作Word文档的全面指南

《Java操作Word文档的全面指南》在Java开发中,操作Word文档是常见的业务需求,广泛应用于合同生成、报表输出、通知发布、法律文书生成、病历模板填写等场景,本文将全面介绍Java操作Word文... 目录简介段落页头与页脚页码表格图片批注文本框目录图表简介Word编程最重要的类是org.apach

Spring Boot中WebSocket常用使用方法详解

《SpringBoot中WebSocket常用使用方法详解》本文从WebSocket的基础概念出发,详细介绍了SpringBoot集成WebSocket的步骤,并重点讲解了常用的使用方法,包括简单消... 目录一、WebSocket基础概念1.1 什么是WebSocket1.2 WebSocket与HTTP

SpringBoot+Docker+Graylog 如何让错误自动报警

《SpringBoot+Docker+Graylog如何让错误自动报警》SpringBoot默认使用SLF4J与Logback,支持多日志级别和配置方式,可输出到控制台、文件及远程服务器,集成ELK... 目录01 Spring Boot 默认日志框架解析02 Spring Boot 日志级别详解03 Sp

java中反射Reflection的4个作用详解

《java中反射Reflection的4个作用详解》反射Reflection是Java等编程语言中的一个重要特性,它允许程序在运行时进行自我检查和对内部成员(如字段、方法、类等)的操作,本文将详细介绍... 目录作用1、在运行时判断任意一个对象所属的类作用2、在运行时构造任意一个类的对象作用3、在运行时判断

java如何解压zip压缩包

《java如何解压zip压缩包》:本文主要介绍java如何解压zip压缩包问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java解压zip压缩包实例代码结果如下总结java解压zip压缩包坐在旁边的小伙伴问我怎么用 java 将服务器上的压缩文件解压出来,

SpringBoot中SM2公钥加密、私钥解密的实现示例详解

《SpringBoot中SM2公钥加密、私钥解密的实现示例详解》本文介绍了如何在SpringBoot项目中实现SM2公钥加密和私钥解密的功能,通过使用Hutool库和BouncyCastle依赖,简化... 目录一、前言1、加密信息(示例)2、加密结果(示例)二、实现代码1、yml文件配置2、创建SM2工具

Spring WebFlux 与 WebClient 使用指南及最佳实践

《SpringWebFlux与WebClient使用指南及最佳实践》WebClient是SpringWebFlux模块提供的非阻塞、响应式HTTP客户端,基于ProjectReactor实现,... 目录Spring WebFlux 与 WebClient 使用指南1. WebClient 概述2. 核心依

Spring Boot @RestControllerAdvice全局异常处理最佳实践

《SpringBoot@RestControllerAdvice全局异常处理最佳实践》本文详解SpringBoot中通过@RestControllerAdvice实现全局异常处理,强调代码复用、统... 目录前言一、为什么要使用全局异常处理?二、核心注解解析1. @RestControllerAdvice2

Spring IoC 容器的使用详解(最新整理)

《SpringIoC容器的使用详解(最新整理)》文章介绍了Spring框架中的应用分层思想与IoC容器原理,通过分层解耦业务逻辑、数据访问等模块,IoC容器利用@Component注解管理Bean... 目录1. 应用分层2. IoC 的介绍3. IoC 容器的使用3.1. bean 的存储3.2. 方法注