Ruoyi Vue分离版 WebSocket后端鉴权认证解决方案

已于 2025-02-06 20:19:54 修改
阅读量999 收藏 18
点赞数 10
文章标签: websocket ruoyi java
于 2025-01-14 12:50:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_25217031/article/details/145136232
版权

WebSocket 若依鉴权

使用WebSocket实现实时通信,Ruoyi官方教程做法是在SecurityConfig中将ws的地址设为匿名访问:

("/websocket/**").permitAll()

这种方式虽然能够让WebSocket成功连接,但我想在大多数生产环境中,无需鉴权的情况极为少见。而网络上缺乏明确的Ruoyi解决方案,于是动拙笔浅析下我个人的解决方案。

WebSocket Header携带Token,修改Ruoyi鉴权拦截器

前端vue,将Token放置于创建WebSocket连接请求的protocols参数中:

 this.ws = new WebSocket(wsuri,[getToken()]);

则其请求头的Sec-Websocket-Protocol参数会替换为Token,如下图所示:

JavaScript WebSocket无法自定义Header,只有Sec-Websocket-Protocol内容能通过这种方式改变

在此基础上,我们需要让若依识别协议头Sec-Websocket-Protocol中的Token

在若依的JWT鉴权请求过滤器JwtAuthenticationTokenFilter.java中,其拦截逻辑是:

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
        throws ServletException, IOException
{
    //从request请求中解析出LoginUser
    LoginUser loginUser = tokenService.getLoginUser(request);
    //使用这个LoginUser 完成JWT鉴权流程
    if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication()))
    {
        tokenService.verifyToken(loginUser);
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
        authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
    }
    chain.doFilter(request, response);
}

进入这个getLoginUser函数,其内容如下:

/**
 * 获取用户身份信息
 * @return 用户信息
 */
public LoginUser getLoginUser(HttpServletRequest request)
{
    // **从request中获取携带的Token令牌**
    String token = getToken(request);
    if (StringUtils.isNotEmpty(token))
    {
        try
        {
            Claims claims = parseToken(token);
            // 解析对应的权限以及用户信息
            String uuid = (String) claims.get(Constants.LOGIN_USER_KEY);
            LoginUser user = CacheUtils.get(CacheConstants.LOGIN_TOKEN_KEY, uuid, LoginUser.class);
            return user;
        }
        catch (Exception e)
        {
        }
    }
    return null;
}

在第8行代码getToken中,进入即可看到获取Token的逻辑:

/**
 * 获取请求token
 * @param request
 * @return token
 */
private String getToken(HttpServletRequest request)
{
    String token = request.getHeader(header);
    if (StringUtils.isNotEmpty(token) && token.startsWith(Constants.TOKEN_PREFIX))
    {
        token = token.replace(Constants.TOKEN_PREFIX, "");
    }
    return token;
}

其中的header变量是ruoyi的全局参数,内容会被装载为在application.yml中定义的Token协议头(默认是Authorization

TOKEN_PREFIX为全局常量,默认为"Bearer ",标识Token开始前的前缀,我们没有前缀因此可忽略

我们的修改逻辑只是在getHeader为空时再次getHeader我们自己的协议头Sec-Websocket-Protocol, 修改后内容为:

private String getToken(HttpServletRequest request)
{
    String token = request.getHeader(header);
    if (StringUtils.isEmpty(token)){
        //如果Authorization为空,那么尝试读取Sec-Websocket-Protocol的内容
        token = request.getHeader("Sec-Websocket-Protocol");
    }else if(token.startsWith(Constants.TOKEN_PREFIX)) {
        token = token.replace(Constants.TOKEN_PREFIX, "");
    }
    return token;
}

 doFilterInternal()方法中需要同时设置响应头 Sec-Websocket-Protocol

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        LoginUser loginUser = tokenService.getLoginUser(request);
        if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication())) {
            tokenService.verifyToken(loginUser);
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
            response.setHeader("Sec-Websocket-Protocol", request.getHeader("Sec-Websocket-Protocol"));
        }
        chain.doFilter(request, response);
    }

"Sec-Websocket-Protocol"硬编码即可,无需提取为全局参数,因为WebSocket协议头名称永远无法改变

于是ruoyi便能够从WebSocket连接请求中得到Token并成功鉴权,无需配置匿名访问了。

shisango
关注
ruoyi-nbcio-plus基于vue3的flowable的websocket消息组件的升修改(二)
宁波阿成的博客
04-18 524
ruoyi-nbcio-plus基于vue3的flowable的websocket消息组件的升修改(二)
ruoyi-nbcio-plus基于vue3的flowable的websocket消息组件的升修改(一)
宁波阿成的博客
04-18 691
ruoyi-nbcio-plus基于vue3的flowable的websocket消息组件的升修改(一)
WebSocket改造优化若依在线用户实时监控
m0_52620144的博客
02-18 1313
引入WebSocket改造优化若依RuoYi-Vue的在线用户监控页面,实现实时更新数据效果
RuoYi-Cloud 若依微服务启动教程(保姆
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
03-01 3143
场景 RuoYi-Cloud 是一个 Java EE 企业快速开发平台,基于经典技术组合(Spring Boot、Spring Cloud & Alibaba、Vue、Element),内置模块如:部门管理、角色用户、菜单及按钮授、数据限、系统参数、日志管理、代码生成等。在线定时任务配置;支持集群,支持多数据源。 微服务技术选型 1、系统环境 Java EE 8 Servlet 3.0 Apache Maven 3 2、主框架 Spring Boot 2.3.x Spring Clou
WebSocket 实践:从入门到精通
最新发布
kk_lzvvkpj的博客
04-02 700
通过本文的介绍,你应该对WebSocket有了更清晰的认识。不同的方式各有优劣,你可以根据具体情况选择最适合自己项目的方式。在保障通信安全的同时,也能提供更好的用户体验。
WebSocket实现方案
热门推荐
qq_38531706的博客
06-18 1万+
目录一、springboot+websocket搭建1.1.使用依赖1.2.WebSocketInterceptor拦截器1.3.MyWebSocketHandler处理器1.4.WebSocketConfig配置1.5.前端连接二、websocket方案2.1.url传参方案2.2.websocket头字段Sec-WebSocket-Protocol传参 WebSocket是一种在单个TCP连接上进行全双工通信的协议。它使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据
WebSocket 策略与技巧详解
LiamHong_的博客
11-24 3619
通过本文的介绍,你应该对WebSocket有了更清晰的认识。不同的方式各有优劣,你可以根据具体情况选择最适合自己项目的方式。在保障通信安全的同时,也能提供更好的用户体验。
Spring WebSocket 应用,token,多个页面访问同一个websocket
weixin_39263573的博客
08-10 7397
Spring WebSocket 应用,token 解决了1:建立连接成功后立即被关闭; 2:一个用户token下 多个页面访问同一个websocket不成功的
若依RuoYi-Vue分离WebSocket消息推送实现
qq_20236937的博客
06-07 3725
若依分离WebSocket消息推送实现引言添加依赖取消Websocket认证添加配置前端 转载:基于若依(SpringBoot前后分离-vue)的WebSocket消息推送实现 引言 自己写了个小项目游戏报价器,想在更新系统的时候可以提前在系统弹窗提示用户,注意系统更新。 第一想到的就是WebSocket了,在更新前,提前发布公告,通过WebSocket推送到web客户端界面。 WebSocket是一种通信协议,可在单个TCP连接上进行全双工通信。WebSocket使得客户端和服务器之间的数据
websocket简单和http微服务方案
qq_42031483的博客
04-04 3475
websocket websocket没有提供方案,所以要自己实现 实现方案: 在连接建立时,检查连接的HTTP请求头信息(比如cookies中关于用户的身份信息); 在每次接收到消息时,检查连接是否已授过,及授是否过期; 以上两点,只要答案为否,则服务端主动关闭socket连接; 实现 websocket增加一个自定义的channleHandle在webscok...
若依(ruoyi/ruoyi-vue)集成websocket以及ws配置匿名访问
社畜程序员的无聊博客
11-23 9980
aries集成websocket实现实时通信 需要按照具体情况进行操作对于某些时候可能有相对改动 WebSocket是一种通信协议,可在单个TCP连接上进行全双工通信。WebSocket使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据。在WebSocket API中,浏览器和服务器只需要完成一次握手,两者之间就可以建立持久性的连接,进行双向数据传输。 1、aries-framework/pom.xml文件添加websocket依赖。 <!-- SpringBoot W
若依WebSocket集成
04-01
WebSocket是一种在客户端和服务器之间建立长连接的协议,它允许双方进行全双工通信,即数据可以在两个方向上同时传输,极大地提高了实时性。在若依框架中集成WebSocket,可以为用户带来更流畅、即时的交互体验,尤其...
spring boot+vue+websockettoken身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
RuoYi后端分离微服务集成WebSocket
ApacheActiviti的博客
11-30 3321
个人记录,仅供参考
springboot整合webSocket,心跳检测,wss请求,nginx配置、集群部署
qq_35683545的博客
07-07 6877
从nginx配置看,进行了负载均衡,服务进行了集群部署,项目部署在多台机器上,如此,当一个客户端用户和一台机器建立了链接,客户端自然是不会再去和其他机器建立连接,同时一般建立连接成功时,还会断开旧的连接,这样就不能和新的机器建立连接。其中要监听listen 80端口,尤其注意的是要注意这下面2个配置必须加上,否则建立连接成功立刻就会断掉。注意,使用wss调用需要在nginx配置ssl证书,否则部署到服务器是无法建立websocket连接的。收到客户端发送到服务器发给接收者的消息时,
netty-websocket token及统一请求和响应头(控制器)
weixin_43861630的博客
03-09 6261
netty websocket自定义控制器(握手前) ,自定义协议头 Sec-WebSocket-Protocol 增加Sec-WebSocket-Protocol总是连接不上
java websocket 认证_WebSocket方案
weixin_36239938的博客
02-24 2714
WebSocket 为我们提供了便捷且实时的通讯能力。然而,对于 WebSocket 客户端的,协议的RFC是这么说的:This protocol doesn’t prescribe any particular way that servers canauthenticate clients during the WebSocket handshake. The WebSocketser...
WebSocket 方案如何实现?
前端程序员、项目经理、人工智能博主
10-24 1004
WebSocket 是个好东西,为我们提供了便捷且实时的通讯能力。然而,对于 WebSocket 客户端的,协议的 RFC 是这么说的:也就是说,需要自己动手。
ruoyi websocket使用
05-09
Ruoyi WebSocketRuoyi Vue 前端框架中的一个组件,用于实现前后端的双向通信。它基于 WebSocket 技术实现,可以在前端页面和后端服务器之间建立一条持久化的连接,实现实时推送和数据更新。 Ruoyi WebSocket 的使用步骤如下: 1. 在前端页面中引入 Ruoyi WebSocket 组件; 2. 在 Vue 组件的 created 或 mounted 生命周期中创建 WebSocket 连接; 3. 在 Vue 组件的 beforeDestroy 生命周期中关闭 WebSocket 连接; 4. 在后端服务器中实现 WebSocket 的消息处理逻辑。 以下是一个简单的 Ruoyi WebSocket 使用示例: 1. 在前端页面中引入 Ruoyi WebSocket 组件: ``` <template> <div> <h1>WebSocket 示例</h1> <p>{{message}}</p> </div> </template> <script> import {websocketMixin} from '@/utils/websocket' export default { name: 'WebSocketDemo', mixins: [websocketMixin], data() { return { message: '' } }, mounted() { this.createWebSocket('/websocket/demo') // 创建 WebSocket 连接 }, beforeDestroy() { this.closeWebSocket() // 关闭 WebSocket 连接 }, methods: { onMessage(event) { this.message = event.data // 接收 WebSocket 消息 } } } </script> ``` 2. 在后端服务器中实现 WebSocket 的消息处理逻辑: ``` @Component @ServerEndpoint("/websocket/demo") public class WebSocketDemo { private static CopyOnWriteArraySet<WebSocketDemo> webSocketSet = new CopyOnWriteArraySet<WebSocketDemo>(); private Session session; @OnOpen public void onOpen(Session session) { this.session = session; webSocketSet.add(this); } @OnClose public void onClose() { webSocketSet.remove(this); } @OnMessage public void onMessage(String message) { for (WebSocketDemo webSocket : webSocketSet) { webSocket.sendMessage(message); } } private void sendMessage(String message) { try { this.session.getBasicRemote().sendText(message); } catch (IOException e) { e.printStackTrace(); } } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值