websocket+springboot+springsecurity+springsession结合使用

此篇是在上一篇《websocket简介及结合springboot使用》基础上增加了springsecurity与springsession框架。使用这两个框架进行session与用户权限的管理。

一、与springsession结合

修改原先的websocketconfig文件，与springsession结合使用后，实现类也发生了改变。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.messaging.simp.config.MessageBrokerRegistry;
import org.springframework.scheduling.annotation.EnableScheduling;
import org.springframework.session.Session;
import org.springframework.session.web.socket.config.annotation.AbstractSessionWebSocketMessageBrokerConfigurer;
import org.springframework.web.socket.config.annotation.EnableWebSocketMessageBroker;
import org.springframework.web.socket.config.annotation.StompEndpointRegistry;

@Configuration
@EnableScheduling
@EnableWebSocketMessageBroker
public class WebSocketConfig
		extends AbstractSessionWebSocketMessageBrokerConfigurer<Session> {
   
    // <1>

	@Autowired
    private MyHandShakeInterceptor myHandShakeInterceptor;

    @Autowired
    private MyChannelInterceptorAdapter myChannelInterceptorAdapter;
	
	@Override
	protected void configureStompEndpoints(StompEndpointRegistry registry) {
   
    // <2>
		//注意 下面的这个url需要在springsecurity中配置允许访问，否则会被重定向，最后websocket报错302
		registry.addEndpoint("/port")  //添加STOMP协议的端点。这个HTTP URL是供WebSocket或SockJS客户端访问的地址
        .setAllowedOrigins("*") // 添加允许跨域访问
        .addInterceptors(myHandShakeInterceptor) // 添加自定义拦截
        .withSockJS()   //如果前台使用sockJs，此处没有设置，websocket报错404
        .setClientLibraryUrl( "https://cdn.jsdelivr.net/npm/sockjs-client@1.3.0/dist/sockjs.min.js" );  
	}

	@Override
	public void configureMessageBroker(MessageBrokerRegistry registry) {
   
   
	//推送消息前缀，消息的发送的地址符合配置的前缀来的消息才发送到这个broker
		registry.enableSimpleBroker("/queue", "/topic");
		//客户端给服务端发消息的地址的前缀
		registry.setApplicationDestinationPrefixes("/app");
		//推送用户前缀
		registry.setUserDestinationPrefix("/user");
	}
	
}

二、与springsecurity结合

通过security对消息进行安全设置

import org.springframework.security.config.annotation.web.messaging.MessageSecurityMetadataSourceRegistry;
import org.springframework.security.config.annotation.web.socket.AbstractSecurityWebSocketMessageBrokerConfigurer;

@Configuration
public class WebSocketSecurityConfig
		extends AbstractSecurityWebSocketMessageBrokerConfigurer {
   
   

	// @formatter:off
	@Override
	protected void configureInbound(MessageSecurityMetadataSourceRegistry messages) {
   
   
		messages.nullDestMatcher().authenticated()  //任何没有目的地的消息（即消息类型为MESSAGE或SUBSCRIBE以外的任何消息）将要求用户进行身份验证
    .simpSubscribeDestMatchers("/user/queue/errors").permitAll() //任何人都可以订阅/ user / queue / error
    .simpDestMatchers("/app/**").hasRole("USER")  //任何目的地以“/ app /”开头的消息都要求用户具有角色ROLE_USER
    .anyMessage().denyAll(); //拒绝任何其他消息。这是一个好主意，以确保您不会错过任何消息。
	}
	// @formatter:on
	
	@Override
    protected boolean sameOriginDisabled() {
   
   
        return true;
    }
}

三、增加监听器

为了更好的了解用户登录的日志情况，当用户连接和断开连接时候需要进行日志记录，这里使用监听器实现。

监听用户连接时

import org.springframework.context.ApplicationListener;
import org.springframework.messaging.simp.stomp.StompHeaderAccessor;
import org.springframework.stereotype.Component;
import org.springframework.web.socket.messaging.SessionConnectEvent;

import lombok.extern.slf4j.Slf4j;

@Slf4j
@Component
public class WebsocketConnectListener implements ApplicationListener<SessionConnectEvent>{
   
   

	@Override
	public void onApplicationEvent(SessionConnectEvent event) {
   
   
		final StompHeaderAccessor stompHeaderAccessor = StompHeaderAccessor.