[目前,我们有带有Spring Boot,Spring Session(Redis)和Spring Security的Rest应用程序。我们使用基本身份验证。现在,我想添加websocket支持。
当客户端成功登录到应用程序的其他部分时,他会获得x-auth-token。稍后将其作为标头传递,并且可以使用。
然后websocket客户端将此令牌作为查询参数发送以连接到服务。
我们想让Spring Security和Spring Session通过websocket连接中的查询参数接受令牌。我可以设置任何参数吗?还是我们需要编写自定义身份验证提供程序。如果是这样,我们如何与Spring Session集成?
您可以为此使用queryString参数,但是我遇到了同样的问题,我的建议是在订阅时或从JS客户端发送消息时,将您的令牌与标头一起传递。
由于您具有用于处理X-Auth-Token的自定义过滤器,因此Spring安全性不支持在Security.xml中定义的websocket拦截器上定义自定义过滤器。您需要做的是为入站通道实现拦截器,并通过令牌身份验证服务的注入实例,通过访问与Presend方法一起发送的消息发送的nativeHeader来处理令牌身份验证。
Websocket连接之前使用令牌Servlet HTTP请求标头的基本身份验证示例:
**** ws:// localhost:8081 / remoteservice / id?access_token = tokenValue ****
验证令牌是否有效,否则返回false
端点配置:
@Configuration
@EnableWebSocket
public class WebSocketConfiguration implements WebSocketConfigurer{
@Autowired
RemoteServiceHandler rsHandler;
public void registerWebSocketHandlers(WebSocketHandlerRegistry registry){
registry.addHandler(rsHandler, "/remoteservice/{vin}").setAllowedOrigins("*").addInterceptors(new HttpHandshakeInterceptor());
}
}
在建立websocket连接之前验证令牌:
public class HttpHandshakeInterceptor implements HandshakeInterceptor{
@Override
public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map attributes) throws Exception
{
ServletServerHttpRequest servletRequest = (ServletServerHttpRequest) request;
String token = servletRequest.getServletRequest().getHeader("access_token");
try {
Claims claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
if (claims!=null) {
return true;
}
} catch (Exception e) {
return false;
}
return false;
}
跳过http安全端点
@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter{
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().anyRequest();
}
}
pom.xml
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
根据需要在js文件中添加请求标头
var request = URLRequest(url: URL(string: "ws://localhost:8081/remoteservice")!)
request.timeoutInterval = 5 // Sets the timeout for the connection
request.setValue("someother protocols", forHTTPHeaderField: "Sec-WebSocket-Protocol")
request.setValue("14", forHTTPHeaderField: "Sec-WebSocket-Version")
request.setValue("chat,superchat", forHTTPHeaderField: "Sec-WebSocket-Protocol")
request.setValue("Everything is Awesome!", forHTTPHeaderField: "My-Awesome-Header")
let socket = WebSocket(request: request)