每个基于 WebSocket 的 STOMP 消息会话都以 HTTP 请求开始。这可以是升级到WebSocket的请求(即WebSocket握手),或者在SockJS回退的情况下,可以是一系列的SockJS HTTP传输请求。
许多Web应用程序已经设置了认证和授权以保护HTTP请求的安全。通常情况下,用户通过Spring Security使用某种机制(如登录页面、HTTP基本认证或其它方式)进行认证。认证用户的安全上下文被保存在HTTP会话中,并与同一基于cookie的会话中的后续请求关联。
因此,对于WebSocket握手或SockJS HTTP传输请求,通常已经有一个可通过 HttpServletRequest#getUserPrincipal()
访问的认证用户。Spring会自动将该用户与为他们创建的WebSocket或SockJS会话关联起来,随后使用user header将通过该会话传输的所有 STOMP 消息关联。
简而言之,常规的 Web 应用程序除了已经为安全所做的事情之外不需要做任何事情。用户在HTTP请求级别通过安全上下文进行身份验证,该安全上下文通过基于cookie的HTTP会话维持(随后与为该用户创建的WebSocket或SockJS会话关联),并在每个流经应用程序的 Message
上打上user header信息。
STOMP协议确实在 CONNECT
帧上有 login
和 passcode
头部。这些最初是为TCP上的STOMP设计的,并且是必需的。然而,对于基于WebSocket的STOMP,默认情况下,Spring会忽略STOMP协议级别的认证标头,并假定用户已经在HTTP传输级别进行了认证。期望WebSocket或SockJS会话包含已认证的用户信息。
Spring Security OAuth 提供对基于令牌的安全性的支持,包括 JSON Web Token (JWT)。你可以将其用作 Web 应用程序中的身份验证机制,包括基于 WebSocket 交互的 STOMP,如上一节中所述(即通过基于 cookie 的会话维护身份)。
同时,基于cookie的会话并不总是最适合的(例如,在不维护服务器端会话的应用程序中,或者在通常使用headers进行认证的移动应用程序中)。
WebSocket 协议 RFC 6455“没有规定服务器在 WebSocket 握手期间对客户端进行身份验证的任何特定方式。”然而,实际上,浏览器客户端只能使用标准的认证标头(即基本 HTTP 身份验证)或 cookie,并且不能(例如)提供自定义标头。同样,SockJS JavaScript 客户端不提供通过 SockJS 传输请求发送 HTTP 标头的方法。请参阅 sockjs-client 问题 196。相反,它确实允许发送可用于发送令牌的查询参数,但这有其自身的缺点(例如,令牌可能会无意中与服务器日志中的 URL 一起记录)。
上述限制适用于基于浏览器的客户端,并不适用于基于Spring Java的STOMP客户端,后者确实支持在WebSocket和SockJS请求中发送headers。
Therefore, applications that wish to avoid the use of cookies may not have any good alternatives for authentication at the HTTP protocol level. Instead of using cookies, they may prefer to authenticate with headers at the STOMP messaging protocol level. Doing so requires two simple steps:
因此,希望避免使用 cookie 的应用程序可能没有任何好的替代方案来进行 HTTP 协议级别的身份验证。他们可能更喜欢使用 STOMP 消息传递协议级别的标头进行身份验证,而不是使用 cookie。这样做需要两个简单的步骤:
ChannelInterceptor
处理认证headers。下一个示例使用服务器端配置来注册自定义认证拦截器。请注意,拦截器只需要在CONNECT Message
上进行认证并设置用户header。Spring会记录并保存认证的用户,并将其与同一会话上的后续STOMP消息关联起来。以下示例展示了如何注册自定义认证拦截器:
- @Configuration
- @EnableWebSocketMessageBroker
- public class MyConfig implements WebSocketMessageBrokerConfigurer {
-
- @Override
- public void configureClientInboundChannel(ChannelRegistration registration) {
- registration.interceptors(new ChannelInterceptor() {
- @Override
- public Message> preSend(Message> message, MessageChannel channel) {
- StompHeaderAccessor accessor =
- MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class);
- if (StompCommand.CONNECT.equals(accessor.getCommand())) {
- Authentication user = ... ; *// access authentication header(s)*
- accessor.setUser(user);
- }
- return message;
- }
- });
- }
- }
另请注意,当你使用 Spring Security 的消息授权时,目前你需要确保身份验证 ChannelInterceptor
配置的顺序先于 Spring Security 的配置。这最好通过在标记有@Order(Ordered.HIGHEST_PRECEDENCE + 99)
的自定义实现WebSocketMessageBrokerConfigurer
中声明自定义拦截器来完成。
Spring Security提供了WebSocket子协议授权,它使用ChannelInterceptor来根据消息中的用user header对消息进行授权。此外,Spring Session提供了WebSocket集成,确保用户的 HTTP 会话在 WebSocket 会话仍处于活动状态时不会过期。