WebSocket的用户身份认证

最新推荐文章于 2025-06-30 12:25:16 发布
最新推荐文章于 2025-06-30 12:25:16 发布
阅读量2.2w 收藏 15
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 服务器安全 文章标签: WebSocket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41973131/article/details/84875191

关于Session认证的探索

使用环境

SpringBoot 2.x, Spring 4.x

碰到的问题

由于WebSocket是基于TCP的一种独立实现,跟HTTP没什么关系。在WebSocket进行权限验证时无法拿到Tomcat内置的session

解决方案

既然不能从Tomcat中拿到需要session,那倒可以在用户登陆时先将用户session用Map存储起来,后面便可以在WebSocket中利用Map拿到相应的用户信息。

首先需要一个用来存储Session的Map容器,使用了单例模式保证有唯一实例,并且使用Map存储了JSESSIONID以及相应的HttpSession

public class SessionContext {
    private static SessionContext instance;
    private Map<String, HttpSession> map;

    private SessionContext() {
        map = new HashMap<>();
    }

    public static SessionContext getInstance() {
        if (instance == null) {
            instance = new SessionContext();
        }
        return instance;
    }

    synchronized void AddSession(HttpSession session) {
        if (session != null) {
            map.put(session.getId(), session);
        }
    }

    synchronized void DelSession(HttpSession session) {
        if (session != null) {
            map.remove(session.getId());
        }
    }

    public synchronized HttpSession getSession(String session_id) {
        if (session_id == null) return null;
        return map.get(session_id);
    }
}

为此需要,一个HttpSession监听器,监听Session的创建与销毁,并相应新增与删除Map集合中的键值对:

@WebListener
public class SessionListener implements HttpSessionListener {
    private SessionContext sessionContext = SessionContext.getInstance();

    public void sessionCreated(HttpSessionEvent httpSessionEvent) {
        log.info("创建Session");
        sessionContext.AddSession(httpSessionEvent.getSession());
    }

    public void sessionDestroyed(HttpSessionEvent httpSessionEvent) {
        HttpSession session = httpSessionEvent.getSession();
        sessionContext.DelSession(session);
    }
}

最后使用一个WebSocket拦截器,在连接之前进行用户身份的认证:

@Service
public class WebSocketInterceptor implements HandshakeInterceptor {
    @Override
    public boolean beforeHandshake(ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse,
                                   WebSocketHandler webSocketHandler, Map<String, Object> map) {
        
        log.info("webSocket握手请求...");

        if (serverHttpRequest instanceof ServletServerHttpRequest) {
            ServletServerHttpRequest servletRequest = (ServletServerHttpRequest) serverHttpRequest;
            
            // 得到放在url后面的JSESSIONID
            String jSessionId = servletRequest.getServletRequest().getParameter("JSESSIONID");
            
            // 得到Map单例类实例
            SessionContext sessionContext = SessionContext.getInstance();
            // 得到用户session
            HttpSession httpSession = sessionContext.getSession(jSessionId);
            if (null != httpSession) {
                User user = (User) httpSession.getAttribute("user");
                if (null != user) {
                    // 通过
                    return true;
                }
            }
            
            // 拦截该连接
            return false;
    }

    @Override
    public void afterHandshake(ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse,
                               WebSocketHandler webSocketHandler, Exception e) {
        log.info("webSocket握手结束...");
    }
}
请求header认证

若系统使用spring-session-redis进行Session的管理,可以使用请求header验证

配置HttpSessionConfig配置类:

@EnableRedisHttpSession(maxInactiveIntervalInSeconds= 1800)
public class HttpSessionConfig {
    @Bean
    public HeaderHttpSessionIdResolver httpSessionStrategy() {
        return new HeaderHttpSessionIdResolver("x-auth-token");
    }
}

此时可以发现登陆后返回的 header头部信息中含有x-auth-token参数,将该参数作为请求头文件即可使用session验证。同时该参数为session的id,可以根据redis的spring:session:sessions:+ sessionId拿去到相应的用户信息。

目前使用存在许多问题,包括每次发起请求服务器都会存储一个session并返回该session的Id,长此以往,redis将被一堆无用session填满。因此还没有找到一个适合的能够替代上面的解决方法,如果有好的方法欢迎留言。
以清楚原因:有想了解的点击跳转

拓展

SpringSession

利用Spring Session可以使得Session脱离Tomcat本地的限制,在分布式系统上可以很轻松地实现Session共享。

JSON Web Token

除了Session认证,JWT认证也不失为一个好方案,能够实现单点登录以及用户认证。

服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。

{
    "userId":1,
    "userPhone":1213213123
}

用户与服务器通信时,服务器根据JSON对象判断用户身份,同时为了防止用户用户篡改数据,利用加密算法生成签名,并附在一个字符串中并返回给用户。

利用JWT认证服务器可以不用存储Session数据,减少了内存的负担。但还是存在着许多问题,包括:

  • 敏感信息不能使用JWT传递
  • JWT是无状态的导致服务器无法及时注销或修改用户信息,一旦JWT签发了,除非服务器部署额外的逻辑,否则在到期之前就会始终有效。
  • JWT续签问题
SpringBoot为WebSocket添加安全认证与授权功能
AI天才研究院
07-29 3397
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
WebSocket用户验证
Waiter软件工作室
04-01 2899
WebSocket中,如何携带用户的验证信息。
在 Laravel 12 中实现 WebSocket 通信时进行身份验证
深山技术宅的博客
05-06 1472
在 Laravel 12 中实现 WebSocket 通信时进行身份验证
Vue 快速入门
最新发布
分享我的点点滴滴,在成长路上与你同行!
06-30 1302
Vue 快速入门
websocket身份验证
zhuzhu_YT的博客
11-14 3752
上一集我们就完成了websocket初始化的任务,那么我们完成这个内容之后就应该完成一个任务,当客户端与服务端连接成功之后,客户端应该主动发起一个身份认证的消息。
Spring中的Websocket身份验证和授权
一起学习一起进步~
08-09 2491
如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予权限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。
WebSocket 连接建立之前进行身份验证
Chihirozy的博客
07-12 2188
另外,根据“CWE-1385: WebSockets 中缺少来源验证”的弱点描述,在 WebSocket 握手期间验证“Origin”标头来保护类似跨域资源共享(CORS)的访问限制,也有助于增强安全性。同时,要确保 token、签名或其他用于身份验证的信息具有足够的复杂性和保密性,并在服务器端进行严格的验证逻辑,以防止身份验证被绕过或攻击。这些方法可以根据具体的应用场景和需求进行选择和实施。上述示例中的代码是一种常见的实现方式,你可能需要根据你的实际项目环境进行相应的调整。
使用 Sa-Token 解决 WebSocket 握手身份认证
shengzhang_的博客
02-14 6363
WebSocket 中集成 Sa-Token 身份认证,保证连接的安全性……
spring boot+vue+websocket带token身份认证推送消息实现
06-25
本知识点将介绍如何在Spring Boot与Vue前后端分离架构中集成WebSocket,并实现带有身份认证的消息推送功能。这是实现即时通讯、实时数据更新等应用场景的常用技术方案。 ### 1. WebSocket简介 WebSocket是一种在...
保证 WebSocket 连接之前的身份验证过程的安全性
Chihirozy的博客
07-12 1074
以下是一些保证在 WebSocket 连接之前的身份验证过程安全性的方法:ws://wss://wss://wshttpswsscryptowss://
若依框架集成WebSocket用户信息认证
Stronger的博客
09-16 4747
若依框架,集成websocket,用户认证,定时发送
conference:一种WebRTC信令服务器,支持MQTT和WebSocket作为传输协议,基于令牌的身份验证(JSON Web令牌)和基于外部策略的授权
04-12
会议 基于WebRTC的会议媒体服务器。 执照 源代码是根据条款提供。
Spring+STOMP实现WebSocket广播订阅、权限认证、一对一通讯
11-06
Spring+STOMP实现WebSocket广播订阅、权限认证、一对一通讯
spring-boot-websocket
05-01
spring-boot-websocket-stomp-server-send-example 演示应用程序,显示如何使用WebSockets从服务器向客户端发送STOMP消息 先决条件 跑步 使用命令gradle bootRun运行应用程序 访问http://localhost:8080以访问UI。 使用多个浏览器或浏览器选项卡来演示发布/订阅功能。 执照 ,换句话说,可以随心所欲地做任何事情,但是我不提供任何形式的保证,因此,我对由此可能造成的任何损失不承担任何责任。
Golang 搭建 WebSocket 应用(四) - jwt 认证
rubys007的博客
01-19 2208
JWT是的缩写,是一种用于在网络中安全传递信息的开放标准。它是一种紧凑且自包含的方式,用于在各方之间传递信息,通常用于身份验证和授权机制。JWT主要由三个部分组成:头部(Header): 包含关于令牌的元数据,例如令牌的类型(typ)和签名算法(alg头部是一个JSON对象,通常会经过Base64编码。载荷(Payload): 包含要传递的信息,通常包括用户身份信息以及其他声明。载荷也是一个JSON对象,同样经过Base64编码。签名(Signature。
Spring WebSocket 认证与授权:掌控安全通道,迈向巅峰之旅!
chen520的博客
09-22 2034
如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予权限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。
Redis的应用の使用SpringSession实现WebSocket用户身份认证
广工最菜的琛
05-22 1328
之前有过两篇博文是有关WebSocket身份认证WebSocket用户身份认证 关于使用浏览器与PostMan测试springSession每次返回的x-auto-token不一致的问题解决 当时是处于一个探索的环节,现在我们将使用SpringSession、Redis,通过Header认证来实现WebSocket用户身份的认证。 注意:为了简化文章,我们假设用户已经是通过登录并且获得x...
Websocket实现token认证方式
热门推荐
Cain的博客
07-26 1万+
websocket token认证
springboot websocket token身份认证
07-15
Spring Boot提供了一种简便的方式来实现WebSocket身份认证,可以使用Token来验证用户身份。下面是一个简单的实现步骤。 首先,需要在Spring Boot项目中配置WebSocket,并添加相关依赖。可以通过在pom.xml文件中添加...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值