Fatal编程技术网
  • spring-security/
  • Spring security Spring会话基本身份验证令牌作为Spring Websocket中的查询参数传递

Spring security Spring会话基本身份验证令牌作为Spring Websocket中的查询参数传递

spring-security

Spring security Spring会话基本身份验证令牌作为Spring Websocket中的查询参数传递,spring-security,spring-websocket,spring-session,Spring Security,Spring Websocket,Spring Session,目前我们有带Spring引导、Spring会话(Redis)和Spring安全性的Rest应用程序。我们使用基本身份验证。现在我想添加websocket支持 当客户端成功登录到应用程序的其他部分时,他将获得x-auth-token。它稍后作为标头传递,并且可以工作 然后websocket客户端将此令牌作为查询参数发送到服务 我们希望通过websocket连接中的查询参数使Spring安全性和Spring会话接受令牌。有什么参数可以设置吗?或者我们需要编写自定义身份验证提供程序。如果是这样,我们如

目前我们有带Spring引导、Spring会话(Redis)和Spring安全性的Rest应用程序。我们使用基本身份验证。现在我想添加websocket支持

  • 当客户端成功登录到应用程序的其他部分时,他将获得x-auth-token。它稍后作为标头传递,并且可以工作

  • 然后websocket客户端将此令牌作为查询参数发送到服务

    • 我们希望通过websocket连接中的查询参数使Spring安全性和Spring会话接受令牌。有什么参数可以设置吗?或者我们需要编写自定义身份验证提供程序。如果是这样,我们如何与Spring会话集成?

    您可以使用queryString参数来实现这一点,但我也遇到了同样的问题,我的建议是在订阅时或从JS客户端发送消息时,使用头传递您的令牌

    由于您有一个自定义筛选器来处理X-Auth-Token,Spring security不支持在security.xml中定义的websocket拦截器上定义自定义筛选器。
    您只需为入站通道实现拦截器,并通过访问与messages at Presend方法一起发送的nativeHeader来处理令牌身份验证,通过您的令牌身份验证服务的注入实例。

    在websocket连接之前使用令牌servlet http请求头进行基本身份验证的示例:

    ****ws://localhost:8081/remoteservice/id?access\u token=tokenValue****

    验证您的令牌返回true(如果有效),否则返回false

    端点配置:

    @Configuration
@EnableWebSocket
public class WebSocketConfiguration implements WebSocketConfigurer{

    @Autowired
    RemoteServiceHandler rsHandler;

public void registerWebSocketHandlers(WebSocketHandlerRegistry registry){
        registry.addHandler(rsHandler, "/remoteservice/{vin}").setAllowedOrigins("*").addInterceptors(new HttpHandshakeInterceptor());
    }   
}
    在建立websocket连接之前验证令牌:

    public class HttpHandshakeInterceptor implements HandshakeInterceptor{

@Override
public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler,  Map attributes) throws Exception 
{
ServletServerHttpRequest servletRequest = (ServletServerHttpRequest) request;
String token = servletRequest.getServletRequest().getHeader("access_token");
try {
            Claims claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();

            if (claims!=null) {
                return true;
            }
        } catch (Exception e) {

            return false;
        }
        return false;
}
    跳过http安全端点

    @Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter{

    @Override 
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().anyRequest(); 
    }

}
    pom.xml

    <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

    var request = URLRequest(url: URL(string: "ws://localhost:8081/remoteservice")!)
request.timeoutInterval = 5 // Sets the timeout for the connection
request.setValue("someother protocols", forHTTPHeaderField: "Sec-WebSocket-Protocol")
request.setValue("14", forHTTPHeaderField: "Sec-WebSocket-Version")
request.setValue("chat,superchat", forHTTPHeaderField: "Sec-WebSocket-Protocol")
request.setValue("Everything is Awesome!", forHTTPHeaderField: "My-Awesome-Header")
let socket = WebSocket(request: request)