Java SpringMVC WebSocket消息传递用户身份验证与Spring安全性
关于这个问题,我已经看到了一些线索,但似乎没有一条能够直接回答这个问题 在后台,我已经安装了SpringSecurity,并在应用程序的其他部分顺利运行。我的用户名是“开发者” 在Java7、GlassFish4、Spring4上运行,并使用Angular+StompJS 让我们在这里获取一些代码:Java SpringMVC WebSocket消息传递用户身份验证与Spring安全性,java,spring,spring-mvc,spring-security,websocket,Java,Spring,Spring Mvc,Spring Security,Websocket,关于这个问题,我已经看到了一些线索,但似乎没有一条能够直接回答这个问题 在后台,我已经安装了SpringSecurity,并在应用程序的其他部分顺利运行。我的用户名是“开发者” 在Java7、GlassFish4、Spring4上运行,并使用Angular+StompJS 让我们在这里获取一些代码: package com.myapp.config; import org.springframework.context.annotation.Configuration; import org.
package com.myapp.config;
import org.springframework.context.annotation.Configuration;
import org.springframework.messaging.simp.config.MessageBrokerRegistry;
import org.springframework.web.socket.config.annotation.AbstractWebSocketMessageBrokerConfigurer;
import org.springframework.web.socket.config.annotation.EnableWebSocketMessageBroker;
import org.springframework.web.socket.config.annotation.StompEndpointRegistry;
@Configuration
@EnableWebSocketMessageBroker
public class WebSocketBrokerConfig extends AbstractWebSocketMessageBrokerConfigurer {
public final static String userDestinationPrefix = "/user/";
@Override
public void registerStompEndpoints(StompEndpointRegistry registry) {
registry.addEndpoint("/stomp").withSockJS().setSessionCookieNeeded(true);
}
@Override
public void configureMessageBroker(MessageBrokerRegistry registry) {
registry.setApplicationDestinationPrefixes("/app");
//registry.enableStompBrokerRelay("/topic,/user");
registry.enableSimpleBroker("/topic", "/user");
registry.setUserDestinationPrefix(userDestinationPrefix);
}
}
好的,现在这里有一个控制器,每3秒钟发送一次信息:
import org.springframework.messaging.simp.SimpMessagingTemplate;
…
@Autowired
private SimpMessagingTemplate messagingTemplate;
…
@Scheduled(fixedDelay = 3000)
public void sendStuff ()
{
Map<String, Object> map = new HashMap<>();
map.put(MessageHeaders.CONTENT_TYPE, MimeTypeUtils.APPLICATION_JSON);
System.out.print("Sending data! " + System.currentTimeMillis());
//messagingTemplate.convertAndSend("/topic/notify", "Public: " + System.currentTimeMillis());
messagingTemplate.convertAndSendToUser("developer", "/notify", "User: " + System.currentTimeMillis());
messagingTemplate.convertAndSendToUser("notYou", "/notify", "Mr Developer Should Not See This: " + System.currentTimeMillis());
}
最后,对于kicks,pom.xml
<dependency>
<groupId>javax.websocket</groupId>
<artifactId>javax.websocket-api</artifactId>
<version>1.0</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-messaging</artifactId>
<version>4.0.6.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-websocket</artifactId>
<version>4.0.6.RELEASE</version>
</dependency>
javax.websocket
问题是:
- 查看
messagingTemplate.convertAndSendToUser
——只需添加“用户前缀”和提供的用户名,然后使用不适用安全性的messagingTemplate.convertAndSend
- 然后人们说“你需要像其他地方一样使用spring安全性”——这里的问题是A)我正在异步地向客户机发送数据,因此B)我将在用户会话之外完全使用此代码,可能来自不同的用户(比如向另一个登录用户发送通知)
让我知道,如果这是一个太密切相关的不同的职位,但我认为这是一个大问题,我想这样做的正义
如果有人需要更多详细信息,我可以获得更多详细信息。我认为您必须进行以下更改:
1) 不能为“/user”启用SimpleBroker,因为它是由代理自动处理的特殊队列
2) 例如,如果服务器使用注释“@SendToUser(“/queue/private”)”,则客户端必须订阅队列“/user/queue/private”:不能在队列中预先添加用户名,因为这是由代理处理的透明操作
我确信这是正确的,因为我正在设置中使用它
我没有尝试convertAndSendToUser()方法,但由于其语义应该与注释相同,因此也应该可以使用。新的Spring Security 4x现在完全支持Web套接字,您可以参考链接
或者,如果您需要完整的示例,您可以在扩展AbstractSecurityWebSocketMessageBrokerConfiger的JavaConfig类中重写configureInbound方法
@Override
protected void configureInbound(MessageSecurityMetadataSourceRegistry messages) {
messages
.nullDestMatcher().authenticated() 1
.simpSubscribeDestMatchers("/user/queue/errors").permitAll() 2
.simpDestMatchers("/app/**").hasRole("USER") 3
.simpSubscribeDestMatchers("/user/**", "/topic/friends/*").hasRole("USER") 4
.simpTypeMatchers(MESSAGE, SUBSCRIBE).denyAll() 5
.anyMessage().denyAll(); 6
}
}
在那里,您可以配置凭据以订阅频道、发送消息或其他一些内容,如Spring WebSocket文档中所述响应良好,非常感谢!我现在会继续尝试,并在我知道后尽快更新你/将其标记为解决方案。因此,我尝试完全按照你的建议进行操作,但仍然不起作用。这两种情况之间的关键问题是:您使用的是@SendToUser
,它已经有了当前的用户会话和范围,很可能还有用户会话。我正在尝试使用convertAndSendToUser()
向不同的用户发送通知,可能是来自另一个用户,这是我遇到问题的原因。这应该是可以接受的答案。我知道已经很晚了,但是您可以使用clientInboundChannel和clientOutboundChannel来停止不应该传入/传出的订阅和消息。使用内存代理或远程JMS代理可以正常工作吗?嵌入式spring brokerBoy在几个月前会很好!!:)我仍然不认为这能解决@Nitroware的问题,顺便说一句,这也是我的问题。phuong给出的示例向队列中添加了基于角色的权限,但没有阻止角色X中的用户a订阅来自角色X中另一个用户B的消息。我认为这个问题仍然存在。当用户订阅应用程序时,需要的是一个授权挂钩message@nsdiv您可以使用messages.simpSubscribeDestMatchers(“/subscribe”).access(@beanName.check(authentication,message)”)这将使用名为beanName的Springbean并传入当前的身份验证和WebSocket消息。实现check方法以返回true或false。如果您想了解更多详细信息,则需要创建一个新问题,因为注释部分是limitted@RobWinch:创建了一个新问题-@phuong第二个链接已断开这实际上是正确的答案。如果其他用户尝试订阅广播目的地/topic
或/queue
或任何不允许显式的目的地,则此设置就绪后,他们将收到一个错误。
@Override
protected void configureInbound(MessageSecurityMetadataSourceRegistry messages) {
messages
.nullDestMatcher().authenticated() 1
.simpSubscribeDestMatchers("/user/queue/errors").permitAll() 2
.simpDestMatchers("/app/**").hasRole("USER") 3
.simpSubscribeDestMatchers("/user/**", "/topic/friends/*").hasRole("USER") 4
.simpTypeMatchers(MESSAGE, SUBSCRIBE).denyAll() 5
.anyMessage().denyAll(); 6
}
}