WebScoket和SpringBoot以及Security的一些记录

最新推荐文章于 2026-06-17 17:16:10 发布
原创 最新推荐文章于 2026-06-17 17:16:10 发布 · 1.1k 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#spring boot #后端 #java #websocket #spring

在构建WebScoket时,考虑到要配合Security的鉴权认证问题,毕竟不能把所有要传输的数据都放到Path上是吧?

一开始根据网上的不少参考资料进行开发,基本上都是基于Session进行的,本以为HttpSession和WebSocketSession这两个会自动进行数据的交换,但是没想到,两者毫不相干,再加上因为Spring容器的自动注入是单例而WebSocket是多对象,无法直接进行自动注入,所有无法直接从SecurityContextHolder.getContext().getAuthentication().getPrincipal()获取到当前登陆的用户对象。

于是开始想着自己往HttpSession中加入principal对象,然后通过拦截器的方式,在与WebScoket进行握手之前,向WebSocket的Session里进行写入principal对象,但是出现了一系列的null异常问题,试了一下午也没有得到好的解决方案。

于是绝定走Redis进行当前登录用户数据的存取。。。。

但是想了一会感觉有点大动干戈了,因此决定使用JWTToken进行当前用户数据的传递(在HttpSession和WebSocketSession之间)。

方案如下:

原理:因为每次通过Http进行登陆请求后得到token返回,之后的每一次请求,尤其是WebSocket请求,只要携带token数据,之后在对应的处理方法里解析就能得到当前登录的用户数据,以该用户的某个属性,比如username为key,将当前的WebSocketSession作为value 进行绑定映射,装入ConcurrentHashMap中进行存储,方便之后的操作。

重点:如何将token写入到WebSocket的请求里?

回答:在握手之间进行修改即可,在WebSocket的配置里刚好有个modifyHandshake方法可以在握手之前就进行request的修改。

注意,结果并不是要从request中取到,而是应该从WebSocket中的Session中取到,因为WebSocket提供的HandshakeRequest 无法直接在@On...等方法中进行直接引用,所有要在modifyHandshake中将request中的目标字段属性写到WebSocket中提供的ServerEndpointConfig 中,之后调用sec.getUserProperties().put()写入字段属性和值。

接下来具体的内容直接看图把。。。。。。

这是WebSocket配置和握手前的request修改:

生成token的地方:

以下为ServerEndPoint的编码:

package com.example.communication.server;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.example.auth.entity.LoginUserDetailServiceImp;
//import com.example.communication.conf.WebSocketConf;
import com.example.communication.conf.WebSocketConf;
import com.example.communication.entity.Message;
import com.example.core.utils.JWTUtil;
import io.jsonwebtoken.Claims;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;


import javax.websocket.*;
import javax.websocket.server.HandshakeRequest;
import javax.websocket.server.PathParam;
import java.io.IOException;
import java.util.List;
import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;

@javax.websocket.server.ServerEndpoint(value = "/server",configurator = WebSocketConf.class)
@Component
public class ServerEndpoint {

    private static  ConcurrentHashMap<String, Session> concurrentHashMap=new ConcurrentHashMap<>();

    private Session session;


    private LoginUserDetailServiceImp loginUserDetailServiceImp;

    @Autowired
    public void setLoginUserDetailServiceImp(LoginUserDetailServiceImp loginUserDetailServiceImp){
        this.loginUserDetailServiceImp=loginUserDetailServiceImp;
    }

    public static void sendMessage(Message message) throws IOException {
        String toUsername = message.getToName();
        String msg=message.getMessage();
        concurrentHashMap.get(toUsername).getBasicRemote().sendText(JSON.toJSONString(msg));
    }

    public static void sendToAllMessage(String data) throws IOException {
        for(Map.Entry<String, Session> session :concurrentHashMap.entrySet()){
            session.getValue().getBasicRemote().sendText(JSON.toJSONString(data));
        }
    }
    public static void sendToOneMessage(Message message){
        Object msg = message.getMessage();
    }

    public static String getUsernameFromToken(Session session){
        List<String> token= (List) session.getUserProperties().get("token");
        Claims claims = JWTUtil.pareToken(token.get(0));
        return  (String) claims.get("username");
    }



    @OnOpen
    public void onOpen(Session session) throws IOException {
        String currentUsername = getUsernameFromToken(session);
        concurrentHashMap.put(currentUsername,session);
////        System.out.println(session);
        sendToAllMessage("欢迎"+currentUsername+"加入了天上人间聊天室,当前聊天室内有"+concurrentHashMap.size()+"人");
    }

    @OnMessage
    public void onMessage(Session session, String msg) throws IOException {
        JSONObject parseJson = (JSONObject) JSONObject.parse(msg);
        String massage = (String) parseJson.get("message");
        String toUsername = (String) parseJson.get("toUsername");
        if(toUsername.equals("ALL")){
            sendToAllMessage(massage);
        }else {
            Message oneMassage = new Message(toUsername, massage);
            sendMessage(oneMassage);
        }
    }

    @OnClose
    public void onClose(Session session) throws IOException {
        if (session!=null) {
            concurrentHashMap.remove(getUsernameFromToken(session));
            sendToAllMessage("用户:"+getUsernameFromToken(session)+"已退出聊天室");

        }
    }
    @OnError
    public void onError(Session session) throws IOException {
        String username = getUsernameFromToken(session);
        sendMessage(new Message("出错了,请重试",username));
    }
}

更为具体的可以看我这个项目:SchoolBlog: 目标是建议一套完整的校园web后端服务框架,包含但不限于基本的用户登录鉴权系统,贴吧系统,私信系统和聊天室系统,用户信息系统。 (gitee.com)

kimido
关注
SpringBoot+SpringSecurity+WebSocket
04-11
SpringBoot+SpringSecurity+WebSocket的整合Demo
SpringSecurity整合WebSocket并携带token
oNew_Lifeo的博客
04-07 1万+
导入SpringSecuritySpringBoot项目,在连接WebSocket时进行token校验
WebSocketSpringSecurity的学习记录
weighless的博客
01-08 2097
STOMP 提供了一个可互操作的线路格式,允许 STOMP 客户端与任何支持 STOMP 的消息代理进行交互。在客户端,你需要使用一个合适的库来建立 WebSocket 连接。如果你的客户端是一个网页,你可以使用 SockJS STOMP 客户端库。security提供了一个默认的登录页面,在没有登录的情况下所有的请求都会被拦截到该页面,默认的登录名密码是可以改的在yml配置文件中。接下来,创建一个控制器来处理发送到 WebSocket 的消息。的消息,并将响应发送到。自定义验证**执行顺序。
SpringSecurity结合Stomp使用WebSocket
weixin_52195362的博客
09-09 990
SpringSecurity中使用Stomp对WebSocket做权限校验
SpringBootSpring-securityWebSocket整合,WebSocket带token加入Spring-security认证机制
qq_37470526的博客
08-06 7215
背景 项目里边有个模块首页会显示一些汇总信息,有部分信息需要进行实时更新,因此想到使用WebSocket进行长连接,进入后便链接后台,然后后台根据需求(定时、数据有更新)给前台反馈数据,从而达到一次链接,一直通信的功能。避免了前端轮询调用带来的资源消耗。 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、
spring boot security 配置 WebSocket
变异的程序员博客
04-15 1642
根据大多数网上的介绍到这一步已经可以了,谁能想到这些该天杀的掉了一个配置😤,我自己到这一步就死活连不上。3. 创建socket的连接点配置。
WebSocket连接请求被Spring Security拦截, WebSocket无法连接
热门推荐
luoyongweis的博客
06-16 1万+
使用Spring Security时,Security默认会拦截WebSocket连接,尝试了在 configure(HttpSecurity httpSecurity) 中各种配置还是无效,后来经过尝试,在
在使用Spring Security后,websocket连接被拦截
lvjun_的博客
03-02 6045
WebSocket连接请求被Spring Security拦截,导致无法连接websocket
spring security netty websocket 用户认证
qq_21134059的博客
08-15 1177
WebSocket客户端连接到服务器时,服务器会通过拦截器进行用户认证,并将认证结果保存到SecurityContextHolder中。然后,在Web```在上面的配置中,定义了“/ws/**”路径需要进行认证,其他路径不需要认证。使用inMemoryAuthentication方法添加了一个用户"user"密码"password",并赋予了"ROLE_USER"角色。在该拦截器中,可以获取到连接的HTTP请求,并使用Spring Security来进行用户认证。
SpringBootWebSocket添加安全认证与授权功能
东海陈光剑的博客:禅与计算机程序设计艺术
07-29 3814
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring BootWebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
自学 websocket(三):详解 websocket security
m0_61560439的博客
04-23 3330
当我们需要在网络中传输敏感数据时,使用加密协议保护数据的安全性是非常必要的。其中,wss协议就是在websocket协议上添加加密层的一种协议。下面详细介绍wss协议的流程。
spring-websocketSpringBoot(包含SpringSecurity)项目中的导入
Meteors.的博客
07-26 1593
这篇文章分享了如何在SpringBoot中引入spring-websocket,并附带了配套的前端代码、测试网址运行截图。
springboot+springsecurity+mybatis+websocket+thymeleaf+layui整合作业管理系统-详细解析
alian
08-20 3355
1.项目存在意义 对spring系列的框架进行整合,熟悉项目开发的流程基本的章法,加强对基本框架的掌握。 2.项目功能的概述 教师功能: 1.发布作业 (1)教师可以发布多种格式的作业。1纯文本作业,2.纯文件作业,3.混合式作业。 2.修改作业 (1).教师可以修改发布作业(修改发布时间)。 3.批改作业 (1).可以对成绩打分。 (2).对于不合格的作业,老师可以打回...
Spring Boot + WebSocket + Spring Security(定向发送消息)
qq_37279648的博客
10-08 2802
定向发送消息涉及到用户,需要引入Spring Security相关内容。 1.添加Spring Security,websocketthymeleaf等依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency>
Spring Boot整合WebSocketSpring Security实例
weixin_34174322的博客
05-31 6498
一.为什么需要WebSocket在HTTP协议中,所有请求都是由客户端发起的,由服务端进行响应,服务端无法向客户推送消息,但是在一些需要即时通信的应用中,有不可避免的需要服务端向客户端推送消息,传统的解决方案有如下几种1.轮询轮询是最简单的解决方案,其意义在于,客户端在固定的时间间隔下不停地向服务端发送请求,查看服务端是否有新的数据,若服务端有新的数据,则返回给客户端,若是服务端没有新的数据,则返...
学习记录680@springboot+vue+nginx+springsecurity环境下的websocket实战
教练我想学编程
04-19 1381
因为一般情况下,前端访问的地址会根据nginx转发到真正的服务地址,因此在nginx中必须要配置转发websocket的逻辑。比如假设我这里本来访问的是ws://123.1.0.25:9071/,要转发到http://127.0.0.1:8080(当然如果是没有nginx的情况下,就直接使用原本服务的地址+原本服务的端口号即可,比如本机的时候,就应该是ws://localhost:8080/websocket/this.userId,注意这个8080是本身的服务端口)
springboot+springsecurity+mybatis+websocket的使用小Demo
qq_52616972的博客
06-04 542
这个项目目并不实现特定的功能,仅仅是入门使用这些技术,知道如何配置信息。整体目录结构说明:目录存储内容如文件夹名称所示项目依赖管理使用Maven。
Spring集成webSocket详解
菜籽的博客
05-28 2587
踩坑总结 因为之前从来没有接触过,所以网上找了很多教程最后发现都不怎么完整,大多数都是直接全盘照抄《Spring Boot》一书中的相关示例,没有做任何修改,没有说明为什么一定要用spring security,而下面的教程自己也是踩了不少坑,如前后分离中session一直获取不到,导致无法链接上,uid不可为中文,websocket自带协议服务,导致前后端分离一直报跨域的错误等等。当然web...
Spring Boot 3.x迁移指南:从2.x升级的完整流程坑点总结
最新发布
yp0to1的博客
06-17 570
Spring Boot 3.x迁移工作量不小,但这是必须做的。新项目:直接用Spring Boot 3.2 + Java 21(一步到位)老项目:制定迁移计划,逐步迁移(先迁移不重要的服务)测试优先:迁移完后一定要做充分的测试(单元测试 + 集成测试 + 压测)工具辅助:用Spring Boot MigratorOpenRewrite自动化迁移,减少手动改代码的工作量迁移虽然麻烦,但迁移后能用上虚拟线程、Native Image这些新特性,还是很值得的。参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值