什么?websocket也有权限!这个应该怎么做?【第十期】

已于 2024-01-23 18:54:14 修改
阅读量1.1k 收藏 14
点赞数 12
文章标签: websocket 网络协议 网络
于 2024-01-22 23:09:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_21561833/article/details/135758402
版权

前言

初学websocket的小伙伴可能没有注意,websocket是需要身份认证的的。可能可以使用websocket发送一些简单的消息。但是假如说没有鉴权,不就意味着所有人都以进行消息发送。那么对于一个系统来说也太不安全了,所以需要在开启连接websocket的时候进行身份验证。 对应的在聊天系统中也需要思考好友的问题。比如只有好友之间才能互相发消息。不过我这个app目前的设计思路是面向公司的。默认一家公司的所有员工都是好友,可以互相进行通信。

对了,最近也开始玩小红书啦,上面有一些生活日常和自己遇到的面试题,小红书可以发图文所以有什么想法可以随时发,主要更新平台会在b站,小红书上面的东西也会整理成视频发在b站。关注一下我,才五个关注,可太惨了! 名字叫
治愈云(没鞋奔跑版)

本期对应视频,可从b站查看

目前已经写的文章有。并且有对应视频版本。
git项目地址 【IM即时通信系统(企聊聊)】点击可跳转
sprinboot单体项目升级成springcloud项目 【第一期】
前端项目技术选型以及页面展示【第二期】
分布式权限 shiro + jwt + redis【第三期】
给为服务添加运维模块 统一管理【第四期】
微服务数据库模块【第五期】
netty与mq在项目中的使用(第六期)】
分布式websocket即时通信(IM)系统构建指南【第七期】
分布式websocket即时通信(IM)系统保证消息可靠性【第八期】
分布式websocket IM聊天系统相关问题问答【第九期】

设计思路

整体设计思路就是wesocket 建立连接发送消息的时候带上身份认证信息,将token带入。然后交由后台接口去进行身份认证。问题就出在了websocket该如何携带这个token呢,在netty自己构建的服务器中改如何使用呢,如何调用身份认证接口呢。后面将进行展开

netty在http协议升级前截取参数

1.创建类
NettyWebSocketParamHandler
作用 截取参数

package com.netty.informationServe.serve.handler;

/**
 * @author rose
 * @create 2023/6/27
 */


import cn.hutool.core.net.url.UrlBuilder;
import cn.hutool.core.util.URLUtil;
import io.netty.channel.ChannelHandler;
import io.netty.channel.ChannelHandlerContext;
import io.netty.channel.SimpleChannelInboundHandler;
import io.netty.handler.codec.http.FullHttpRequest;
import io.netty.util.AttributeKey;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;

import java.util.Map;


/**
 * URL参数处理程序,这时候连接还是个http请求,没有升级成webSocket协议,此处SimpleChannelInboundHandler泛型使用FullHttpRequest
 *
 * @author Nanase Takeshi
 * @date 2022/5/7 15:07
 */
@Slf4j
@Component
@ChannelHandler.Sharable
public class NettyWebSocketParamHandler extends SimpleChannelInboundHandler<FullHttpRequest> {

    /**
     * 此处进行url参数提取,重定向URL,访问webSocket的url不支持带参数的,带参数会抛异常,这里先提取参数,将参数放入通道中传递下去,重新设置一个不带参数的url
     *
     * @param ctx     the {@link ChannelHandlerContext} which this {@link SimpleChannelInboundHandler}
     *                belongs to
     * @param request the message to handle
     * @throws Exception
     */
    @Override
    protected void channelRead0(ChannelHandlerContext ctx, FullHttpRequest request) throws Exception {
        String uri = request.uri();
        log.info("NettyWebSocketParamHandler.channelRead0 --> : 格式化URL... {}", uri);
        Map<CharSequence, CharSequence> queryMap = UrlBuilder.ofHttp(uri).getQuery().getQueryMap();
        //将参数放入通道中传递下去
        AttributeKey<String> attributeKey = AttributeKey.valueOf("token");
        ctx.channel().attr(attributeKey).setIfAbsent(queryMap.get("token").toString());
        request.setUri(URLUtil.getPath(uri));
        ctx.fireChannelRead(request.retain());
    }

    @Override
    public void exceptionCaught(ChannelHandlerContext ctx, Throwable cause) throws Exception {
        cause.printStackTrace();
        log.error("NettyWebSocketParamHandler.exceptionCaught --> cause: ", cause);
        ctx.close();
    }

}

这个地方将token截取下来并且在channel之间进行传递。

将上面类加入netty调用链

  @Autowired
    NettyWebSocketParamHandler nettyWebSocketParamHandler;
 @Override
    protected void initChannel(SocketChannel e) throws Exception {
        e.pipeline().addLast("http-codec", new HttpServerCodec()) //http编解码
        /**

         *HttpObjectAggregator 因为http在传输过程中是分段的,HttpObjectAggregator可以将多个段聚合起来
         * 这就是为什么当浏览器发送大量数据时,会发出多次http请求
         */
                    .addLast("aggregator",new HttpObjectAggregator(65536)) //httpContent消息聚合
                    .addLast("http-chunked",new ChunkedWriteHandler())  // HttpContent 压缩
                /**

                 *WebSocketServerProtocolHandler 对应websocket,它的数据是以 帧(frame)形式 传递
                 * 可以看到 WebSocketFrame 下有六个子类
                 * 浏览器请求时,ws://localhost:7000/XXX 表示请求的资源
                 * 核心功能是 将http协议升级为ws协议,保持长连接
                 */
                    .addLast("nettyWebSocketParamHandler",nettyWebSocketParamHandler)
                    .addLast("protocolHandler",new WebSocketServerProtocolHandler("/websocket"))
//                    .addLast("nettyWebSocketHandler",nettyWebSocketHandler)
                    .addLast(new IdleStateHandler(READER_IDLE_TIME,
                            WRITER_IDLE_TIME,
                            ALL_IDLE_TIME,
                            TimeUnit.SECONDS))
                    .addLast("base_handler",myWebSocketHandler)
                    .addLast("register_handler",registerHandler)
                    .addLast("single_message",singleMessageHandler)
                     .addLast("ack_single_message",ackSingleMessageHandler)
                    .addLast("creat_group",creatGroupHandler)
                    .addLast("group_message",groupMessageHandler)
//                    .addLast(HeartBeatRequestHandler.INSTANCE)
                    .addLast(ExceptionHandler.INSTANCE);
    }

需要注意调用链路是在升级协议之前

在之后的调用链的userEventTriggered方法中写权限逻辑

 /**
     * 事件回调  在这个地方完成参数认证和授权.需要去调用一个接口去测试.
     *
     * @param ctx
     * @param evt
     * @throws Exception
     */
    @Override
    public void userEventTriggered(ChannelHandlerContext ctx, Object evt) throws Exception {
        if (evt instanceof WebSocketServerProtocolHandler.HandshakeComplete) {
            //协议握手成功完成
            log.info("NettyWebSocketHandler.userEventTriggered --> : 协议握手成功完成");
            //检查用户token
            AttributeKey<String> attributeKey = AttributeKey.valueOf("token");
            //从通道中获取用户token
            String token = ctx.channel().attr(attributeKey).get();
            log.info("NettyWebSocketHandler.userEventTriggered"+token);
//            if (token.equals("undefined")){
//                ctx.writeAndFlush(new CloseWebSocketFrame(400, "token 无效")).addListener(ChannelFutureListener.CLOSE);
//            }
//            ctx.fireChannelRead();
            RoseFeignConfig.token.set(token);
            GenericResponse auth = nettyMqFeign.getAuth();
            //先使用一个接口吧。后续添加个人有哪些权限的时候在做改进
            //校验token逻辑
            //......
//            if(1 == 2) {
//                //如果token校验不通过,发送连接关闭的消息给客户端,设置自定义code和msg用来区分下服务器是因为token不对才导致关闭
//
//            }
            if (auth.getStatusCode() == 200){
                //token校验通过
                log.info("token校验通过");
            }else{
//                ctx.writeAndFlush(new CloseWebSocketFrame(400, "token 无效")).addListener(ChannelFutureListener.CLOSE);
            }


      
        }

    }

这个地方是使用openfeign来远程调用的另一个服务的鉴权接口。另一个服务使用的shiro构成,使用的是jwt鉴权的方式。以往有视频讲到分布式jwt如何实现,理解这块可以看往期视频。然后后续那个权限的视频还会再发一个后续的,会更新一下refreshtoken这样的操作。

@FeignClient(value= "yan-loginUser",configuration = RoseFeignConfig.class)
public interface NettyMqFeign {

    @RequestMapping(value = "/auth/issuccess")
    public GenericResponse getAuth() ;
}

feign远程调用的时候请求头问题

这个地方还是使用了一下threadLocal。在websocket的回调函数里面
RoseFeignConfig.token.set(token);
将这个token设置进去。
然后看下面这个具体的类的apply方法,里面把这个token给传递下去;

package com.netty.informationServe.config;

import feign.Logger;
import feign.RequestInterceptor;
import feign.RequestTemplate;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Configurable;
import org.springframework.context.annotation.Bean;

/**
 * @author rose
 * @create 2024/1/6
 */

@Configurable
@Slf4j
public class RoseFeignConfig implements RequestInterceptor {

    /**
     * 当前使用数据源标识
     */
    public static ThreadLocal<String> token  = new ThreadLocal<String>();

    @Bean
    Logger.Level roseFeignConfigLog(){
        //这里记录所有,根据实际情况选择合适的日志level
        return Logger.Level.FULL;
    }
    //请求头携带token
    @Override
    public void apply(RequestTemplate requestTemplate) {
        requestTemplate.header("token", token.get());
    }
}

测试效果图

本期视频主要实现了在websocket中如何进行权限的校验。具体校验逻辑可以自己实现,通过接口的方式来完成。

ws://127.0.0.1:88/websocket?token=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ7XCJzZXNzaW9uX2tleVwiOlwicVZYVmtkMTIzNDU2YjhZZXpRPT1cIn0iLCJvcGVuaWQiOiIxODc5ODc4LU5LQ05PLU5LTksiLCJpc3MiOiJyb3NlIiwiZXhwIjoxNzA2MDkzMTE0LCJ1c2VyaWQiOjEsImlhdCI6MTcwNjAwNjcxNCwianRpIjoiMTIzNDU2In0.uHoL-u54mArQR_BplpSWSGESQUCBVXJ0MbsYXM7_FPI

大家可以看到,目前链接是这样的哈;
在这里插入图片描述

会携带着token在后面然后进行身份认证。

SpringBoot为WebSocket添加安全认证与授权功能
AI天才研究院
07-29 3324
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
网络安全:(二十)Vue 项目中的 WebSocket 安全:防止信息泄漏与劫持
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
11-09 1594
WebSocket 是一种在客户端和服务器之间进行全双工通信的协议,广泛应用于实时应用程序中,如聊天应用、在线游戏、金融交易和通知推送等。与传统的 HTTP 协议不同,WebSocket 连接在建立后可以保持长时间的开放状态,允许客户端和服务器之间实时交换数据。如果 WebSocket 连接没有适当的防护措施,攻击者可以利用用户的身份发起恶意请求,进行数据窃取或篡改。通过采取上述措施,可以大大提高 WebSocket 通信的安全性,保护用户数据免受泄漏与篡改的威胁。
Java SpringBoot集成WebSocket根据登陆权限认证
AstarCloud
07-04 2025
【代码】Java SpringBoot集成WebSocket根据登陆权限认证。
分布式微服务系统架构第120集:专业WebSocket鉴权
最新发布
程序员哆啦A梦,蓝胖子
04-23 833
仓库地址:https://webvueblog.github.io/JavaPlusDoc/,可以自定义 WebSocket握手拦截器 → 返回HTTP状态码,比如401。不光从 URL,也能从 WebSocket 请求头拿 token。,统一管理所有在线Session(方便批量踢人/广播消息),比如客户端定时发送ping消息,服务端回复pong。可以在服务端定时心跳检测,把死掉的连接清理掉。比如token过期、恶意连接,可以主动断开。方法外包装一层 try-catch。灵活扩展,可以接认证中心、数据库。
SpringBoot整合webSocket并增加用户权限验证
热门推荐
July_whj
10-07 1万+
SpringBoot整合webSocket并增加用户权限验证 1、网站中的消息功能如何实现 思考:像这样的消息功能怎么实现? 如果网页不刷新,服务端有新消息如何推送到浏览器? 解决方案,采用轮询的方式。即:通过js不断的请求服务器,查看是否有新数据,如果有,就获取到新数据。 这种解决方法是否存在问题呢? 当然是有的,如果服务端一直没有新的数据,那么js也是需要一直的轮询查询数据,这就是一种资源的浪费。 那么,有没有更好的解决方案? 有!那就是采用WebSocket技术来解决。 2、什么是WebSocket
uni-app 62websocket连接权限验证和强制下线
善假于物
09-30 797
store/modules/user.js import $U from '@/common/free-lib/util.js'; import $H from '@/common/free-lib/request.js'; export default { state: { user: false, apply: { rows: [], count: 0, }, mailList:[] }, actions: { // 登录后处理 login({ sta.
快速掌握websocket权限框架、远程调用、接口文档使用
2301_78234743的博客
07-14 722
学术废物,需要一篇期刊才能毕业,求助大佬们导师不让发版面费太贵的,SCI三四区都行,但是要非OA的,外卖做完了,但jwt和oss等那些常用技术的工具类根本不会写,使用流程有时候也记不清,需要看一眼才会。从没投递过某公司,但莫名有人加我微信,说是某公司大数据开发部,招聘大数据开发实习生,问我是否感兴趣。在Webpack中,插件(plugin)是用来扩展和定制构建过程的工具,可以用于处理和优化资源、自动。优化Webpack的构建速度是一个常见的需求,下面是一些常见的优化策略:https://www.no。
基于websocket实现本地web语音聊天
qq_30914487的博客
09-21 2094
基于libwebsockets库实现语音聊天1、关于libwebsocket库自行编译2、client使用html+js 代码如下3、服务端代码 1、关于libwebsocket库自行编译 2、client使用html+js 代码如下 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>多人语音聊天</title> </head
WebSocket通信原理和在Tomcat中实现源码详解(万字爆肝)
2401_84436034的博客
04-21 843
/如果onclose会执行reconnect,我们执行ws.close()就行了.如果直接执行reconnect 会触发onclose导致重连两次。// 第一次扫描OnMessage时,onMessage为空,不会走下面的for,然后就把messageHandler加到onMessage里。// 监听窗口关闭事件,当窗口关闭时,主动去关闭websocket连接,防止连接还没断开就关闭窗口,server端会抛异常。
WebSocket Stomp 通讯
JeromeLucky的博客
11-30 793
NIO 通讯 netty 实现的socket 通讯 应用netty 实现异步通信.实现消息推送和反馈,广播的功能 netty: port: 8888 #监听端口 bossThread: 2 #线程数 workerThread: 2 #线程数 keepalive: true #保持连接 backlog: 100 <dependency> <groupId>io.netty</groupId> <artifactId>n
solr全局搜索websocket远程通讯技术权限控制
06-01
里面包含solr索引websocket通讯poi导出文件cxf登录注册美观页面留言我可回复教学
conference:一种WebRTC信令服务器,支持MQTT和WebSocket作为传输协议,基于令牌的身份验证(JSON Web令牌)和基于外部策略的授权
04-12
会议 基于WebRTC的会议媒体服务器。 执照 源代码是根据条款提供。
Spring+STOMP实现WebSocket广播订阅、权限认证、一对一通讯
11-06
Spring+STOMP实现WebSocket广播订阅、权限认证、一对一通讯
JAVA整合WebSocket实现服务器消息推送(项目源码)
02-10
1、项目需要,定时向所有在线用户推送一个广告或是推送一个通知之类的(比如服务器升级,请保存好手头工作之类的)。 2、相关环境 , Nginx、tomcat7、centos 6.5 3、项目框架,springMvc 4.0.6、layer
spring boot+vue+websocket带token身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
Android WebSocket】Android 端 WebSocket 基本用法 ( 添加依赖和权限 | 创建 WebSocketClient 客户端类 | 建立连接并发送消息 )
浪漫之圣
01-02 1146
使用框架;
Spring boot Websocket 添加授权校验(校验Header)
Riteny的博客
03-24 5237
继承ServerEndpointConfig.Configurator 并重写modifyHandshake方法,在这里拦截header中Authorization的内容,并将其设置到websocket session 中。获取之前设置入session中的Authorization信息,这里为了方便,仅仅只是校验了有没有传入,没有传入则代表校验失败。取消送入header内容Authorization时,连接先成功,后失败,则代表已经连接到服务器,但因为校验失败,被断开了连接。
Spring中的Websocket身份验证和授权
一起学习一起进步~
08-09 2460
如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予权限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。
WebSocket用户验证
Waiter软件工作室
04-01 2799
WebSocket中,如何携带用户的验证信息。
基于deepseek开发远程会诊,想知道要用到什么技术。
03-25
<think>嗯,用户想了解基于DeepSeek开发远程会诊所需的技术栈。首先,我需要理清楚远程会诊系统的基本需求。这类系统通常需要实时音视频通信、医疗数据的安全传输和存储、AI辅助诊断以及多平台支持。接下来,我得结合DeepSeek的技术特点,看看哪些技术和工具可以满足这些需求。 首先,实时音视频通信是关键。WebRTC是个不错的选择,因为它支持浏览器端的实时通信,不需要插件。可能还需要用到像Agora或声网这样的第三方SDK,确保稳定性和低延迟。另外,信令服务器可能需要使用Node.js或者Go来搭建,管理会话和信令交换。 然后是数据处理和存储。医疗数据涉及大量隐私信息,必须确保安全。数据库方面,可能需要用PostgreSQL或MySQL这类关系型数据库存储结构化数据,而医疗影像等非结构化数据可以用MongoDB或者MinIO来处理。同时,数据加密传输必须使用HTTPS和TLS,存储时也要加密,可能用AES算法。 AI辅助诊断部分,DeepSeek的模型需要集成进来。这里可能需要用TensorFlow或PyTorch框架,部署模型的话可以用Flask或FastAPI搭建API服务。另外,医疗影像处理可能需要OpenCV或者ITK库,这些工具能帮助处理DICOM格式的影像。 系统集成方面,微服务架构是个好选择,用Spring Cloud或者Kubernetes来管理服务。消息队列如Kafka或RabbitMQ可以处理异步任务,比如报告生成或通知。API网关如Kong或Nginx能统一管理接口,提高安全性。 安全与合规是医疗系统的重点。身份认证可以用OAuth 2.0或JWT,权限管理可能需要RBAC模型。审计日志用ELK栈来收集和分析,确保符合HIPAA或者GDPR的要求。 客户端开发需要覆盖多个平台。Web端可以用React或Vue,移动端则用Flutter或React Native实现跨平台。桌面端可能需要Electron,方便医生在电脑上使用。 测试和部署方面,自动化测试工具如Selenium或Jest能确保代码质量。Docker容器化部署方便环境一致性,Kubernetes做容器编排。持续集成/持续部署用Jenkins或GitHub Actions提升效率。 最后,结合DeepSeek的优势,比如它的自然语言处理和数据分析能力,可以优化医患沟通和报告生成。同时,结合RaAIDS系统的交互设计,提升用户体验。这些技术栈需要综合考虑性能、安全和可扩展性,确保系统稳定可靠。</think>基于DeepSeek开发远程会诊系统需要构建完整的技术生态,以下是关键技术和工具的分层架构: ### 一、基础通信层 1. **实时音视频传输** - 采用$WebRTC$技术实现浏览器端P2P通信 - 集成$Agora SDK$保障低延迟(延迟<200ms) - 示例代码: ```python # WebRTC基础连接建立 def create_peer_connection(): config = {"iceServers": [{"urls": "stun:stun.l.google.com:19302"}]} return RTCPeerConnection(config) ``` 2. **信令服务器** - 使用$Node.js$搭建信令交换服务 - 通过$WebSocket$协议保持长连接[^3] ### 二、数据处理层 | 技术模块 | 工具选择 | 性能指标 | |----------------|---------------------------|--------------------| | 医疗影像处理 | OpenCV + ITK | 支持DICOM标准解析 | | 数据存储 | PostgreSQL + MinIO | 读写延迟<50ms | | 流数据处理 | Apache Kafka | 吞吐量>10万条/秒 | ### 三、AI核心层 1. **DeepSeek模型集成** - 部署$TensorFlow Serving$实现模型服务化 - 使用$gRPC$接口进行高效推理 - 医疗文本分析准确率可达$92.3\%$[^1] 2. **多模态处理** $$ f(x) = \alpha \cdot \text{NLP}(x_{\text{text}}) + \beta \cdot \text{CV}(x_{\text{image}}) $$ 其中$\alpha+\beta=1$为模态权重系数 ### 四、安全架构 - **传输加密**:TLS 1.3 + SRTP双加密通道 - **数据脱敏**:应用$k$-匿名算法($k\geq5$) - **访问控制**:基于$RBAC$模型的权限管理系统 ### 五、系统集成 1. 微服务架构:采用$Spring Cloud Alibaba$ 2. 容器化部署:$Docker + Kubernetes$集群 3. 监控系统:Prometheus + Grafana监控面板
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值