摘要:最后發(fā)現(xiàn)每一個在連接端點之前都會發(fā)送一個請求用于保證該服務是存在的。而該請求是程序自動發(fā)送的自能自動攜帶數(shù)據(jù),無法發(fā)送自定義。問題是我們的是使用自定義實現(xiàn)的認證。所以該方法不成立,所以只能讓自己認證。
使用框架介紹
spring boot 1.4.3.RELEASE
spring websocket 4.3.5.RELEASE
spring security 4.1.3.RELEASE
sockjs-client 1.0.2
stompjs 2.3.3
項目介紹由于公司需要使用websocket主動給前端用戶推送消息,公司的項目是使用jhipster自動生成的微服務項目,而spring boot本身就集成了websocket,這樣我們不用自己處理所有的網(wǎng)絡細節(jié)代碼。我們的項目主要為:
前端 - nodeJS代理 - 后端 - 計算系統(tǒng)(由于我們公司是做云計算的,計算系統(tǒng)是一個底層系統(tǒng))
項目的主要流程是:
由于我們使用的是spring security oauth2 來進行認證,而且我們需要吧websocket消息推送給指定用戶,這樣為了保證websocket和http協(xié)議使用的同一套認證系統(tǒng),我們就必須要把websocket認證集成到spring security中。
第一個問題認證403錯誤首先貼出websocket的配置代碼
public class WebSocketConfig extends AbstractWebSocketMessageBrokerConfigurer { private final static Logger LOG = LoggerFactory.getLogger(WebSocketConfig.class); @Override public void configureMessageBroker(MessageBrokerRegistry registry) { registry.enableSimpleBroker("/api/v1/socket/send"); // 推送消息前綴 registry.setApplicationDestinationPrefixes("/api/v1/socket/req"); // 應用請求前綴 registry.setUserDestinationPrefix("/user");//推送用戶前綴 } /** * 建立連接的端點 * @param registry */ @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/api/v1/socket/fallback").setAllowedOrigins("*").withSockJS().setInterceptors(httpSessionHandshakeInterceptor()); } }
第一次在打開websocket的時候發(fā)現(xiàn)三次握手都沒有出現(xiàn)就直接報403,最后仔細看錯誤信息發(fā)現(xiàn)錯誤信息的鏈接為:/api/v1/socket/fallback/info,而且該請求使用的是http請求不是websocket請求。最后發(fā)現(xiàn)每一個websocket在連接端點之前都會發(fā)送一個http GET請求用于保證該服務是存在的。而該請求是程序自動發(fā)送的自能自動攜帶cookie數(shù)據(jù),無法發(fā)送自定義header。
spring boot自帶的認證是:如果/api/v1/socket/fallback/info該請求通過認證,那么websocket的所有請求以及發(fā)送全部自動綁定該認證用戶。如果我們想辦法讓/api/v1/socket/fallback/info請求通過認證,那么接下來所有的問題都將解決。問題是我們的token是使用自定義header實現(xiàn)的認證。所以該方法不成立,所以只能讓websocket自己認證。
為了解決/api/v1/socket/fallback/info請求的403問題我在安全配置中加入.authorizeRequests().antMatchers("/api/v1/socket/fallback/**").permitAll()這樣第一步判斷服務是否存在就解決了,這里離解決websocket的認證問題只是第一步。
第二個問題:如果發(fā)送token給后端stomp 客戶端可以直接在websocket請求中加入自定義header,如下:
let socket = new SockJS("/api/v1/socket/fallback") let stompClient = Stomp.over(socket) let token = localStorage.getItem("Auth-Token") // eslint-disable-line stompClient.connect({"Auth-Token": token}, frame => { stompClient.subscribe("/user/api/v1/socket/send/greetings", data => { // TODO }) })第三個問題:后端如何認證
我們在創(chuàng)建連接的時候前端需要將token發(fā)送到后端,現(xiàn)在我們已經(jīng)將token發(fā)送到后端了,但是后端如何接受并處理token得到認證數(shù)據(jù)呢?帶著這個問題開始google吧!http://stackoverflow.com/questions/39422053/spring-4-x-token-based-websocket-sockjs-fallback-authentication這個鏈接正好解決了我的問題,
UPDATE 2016-12-13 : the issue referenced below is now marked fixed, so the hack below is no longer necessary which Spring 4.3.5 or above. See https://github.com/spring-projects/spring-framework/blob/master/src/asciidoc/web-websocket.adoc#token-based-authentication.
原來這個問題在4.3.5版本中已經(jīng)被繼承進去了,查看自己的版本是4.3.4,不解釋直接升級版本到4.3.5,然后加如代碼
@EnableWebSocketMessageBroker public class MyConfig extends AbstractWebSocketMessageBrokerConfigurer { @Override public void configureClientInboundChannel(ChannelRegistration registration) { registration.setInterceptors(new ChannelInterceptorAdapter() { @Override public Message> preSend(Message> message, MessageChannel channel) { StompHeaderAccessor accessor = MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class); if (StompCommand.CONNECT.equals(accessor.getCommand())) { String jwtToken = accessor.getFirstNativeHeader("Auth-Token"); if (StringUtils.isNotEmpty(jwtToken)) { UserAuthenticationToken authToken = tokenService.retrieveUserAuthToken(jwtToken); SecurityContextHolder.getContext().setAuthentication(authToken); accessor.setUser(authToken); } } return message; } }); } }
開始測試,發(fā)現(xiàn)還是報錯MissingCsrfTokenException,然后開始debug代碼,發(fā)現(xiàn)代碼錯誤的代碼為:
public final class CsrfChannelInterceptor extends ChannelInterceptorAdapter { private final MessageMatcher
仔細查看里面的數(shù)據(jù),原來這里是需要在header中存放一些數(shù)據(jù),于是乎將configureClientInboundChannel方法修正為:
@Override public void configureClientInboundChannel(ChannelRegistration registration) { registration.setInterceptors(new ChannelInterceptorAdapter() { @Override public Message> preSend(Message> message, MessageChannel channel) { StompHeaderAccessor accessor = MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class); if (StompCommand.CONNECT.equals(accessor.getCommand())) { String jwtToken = accessor.getFirstNativeHeader("Auth-Token"); LOG.debug("webSocket token is {}", jwtToken); if (StringUtils.isNotEmpty(jwtToken)) { Map sessionAttributes = SimpMessageHeaderAccessor.getSessionAttributes(message.getHeaders()); sessionAttributes.put(CsrfToken.class.getName(), new DefaultCsrfToken("Auth-Token", "Auth-Token", jwtToken)); UserAuthenticationToken authToken = tokenService.retrieveUserAuthToken(jwtToken); SecurityContextHolder.getContext().setAuthentication(authToken); accessor.setUser(authToken); } } return message; } }); }
然后修改websocket安全配置為:
@Configuration public class WebsocketSecurityConfiguration extends AbstractSecurityWebSocketMessageBrokerConfigurer { @Override protected void configureInbound(MessageSecurityMetadataSourceRegistry messages) { messages.anyMessage().permitAll(); } @Override protected boolean sameOriginDisabled() { return true; } }
這樣websocket 集成spring boot token的認證就搞定了。
文章版權歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/66357.html
摘要:認證服務器和瀏覽器控制臺也沒有報錯信息。這里簡單介紹下如何查閱源碼,首先全局搜索自己的配置因為這個地址是認證服務器請求授權的,所以,請求認證的過濾器肯定包含他。未完待續(xù),下一篇介紹資源服務器和認證服務器的集成。 基于spring-security-oauth2-實現(xiàn)單點登錄 文章代碼地址:鏈接描述可以下載直接運行,基于springboot2.1.5,springcloud Green...
摘要:前言現(xiàn)在的好多項目都是基于移動端以及前后端分離的項目,之前基于的前后端放到一起的項目已經(jīng)慢慢失寵并淡出我們視線,尤其是當基于的微服務架構以及單頁面應用流行起來后,情況更甚。使用生成是什么請自行百度。 1、前言 現(xiàn)在的好多項目都是基于APP移動端以及前后端分離的項目,之前基于Session的前后端放到一起的項目已經(jīng)慢慢失寵并淡出我們視線,尤其是當基于SpringCloud的微服務架構以及...
摘要:對于每個案例,我們插入所需要的測試數(shù)據(jù),調(diào)用需要測試的函數(shù)并對結果作出斷言。我們將這個套接字和用戶返回以供我們其他的測試使用。 原文地址:Elixir, Phoenix, Absinthe, GraphQL, React, and Apollo: an absurdly deep dive - Part 2 原文作者:Zach Schneider 譯文出自:掘金翻譯計劃 本文永久鏈接:gi...
摘要:在整個學習過程中,我最關心的內(nèi)容有號幾點,其中一點是前后端分離的情況下如何不跳轉(zhuǎn)頁面而是返回需要的返回值。登錄成功,不跳轉(zhuǎn)頁面,返回自定義返回值在官方文檔第節(jié),有這么一段描述要進一步控制目標,可以使用屬性作為的替代。 在整個學習過程中,我最關心的內(nèi)容有號幾點,其中一點是【前后端分離的情況下如何不跳轉(zhuǎn)頁面而是返回需要的返回值】。下面就說一下學習結果,以xml配置位李。 登錄成功,不跳轉(zhuǎn)頁...
閱讀 920·2019-08-30 15:54
閱讀 1481·2019-08-30 15:54
閱讀 2409·2019-08-29 16:25
閱讀 1303·2019-08-29 15:24
閱讀 756·2019-08-29 12:11
閱讀 2513·2019-08-26 10:43
閱讀 1238·2019-08-26 10:40
閱讀 478·2019-08-23 16:24