散文網(wǎng) » 科技 »學(xué)習(xí) » 基于SpringBoot的websocket連接訪問(wèn)控制方案

基于SpringBoot的websocket連接訪問(wèn)控制方案

2021-10-24 12:54 作者:向上生長(zhǎng)之路 0人讀過(guò) | 我要投稿

之前的文章中已經(jīng)介紹過(guò)SpringBoot整合websocket的基本使用

在實(shí)際生產(chǎn)環(huán)境中，我們的websocket服務(wù)器一般兒都會(huì)設(shè)置一定的安全訪問(wèn)控制策略，不會(huì)允許客戶端不經(jīng)過(guò)認(rèn)證就能同服務(wù)器進(jìn)行通信服務(wù)，接下來(lái)給大家介紹下，通過(guò)在websocket建立握手階段，驗(yàn)證客戶端的相關(guān)憑證信息用以檢測(cè)客戶端身份的合法性，來(lái)實(shí)現(xiàn)服務(wù)器端的安全訪問(wèn)控制~

SpringBoot版本 2.4.5

工作原理

Spring為我們提供了HandshakeInterceptor握手?jǐn)r截器

查看源碼可以看到HandshakeInterceptor中提供了beforeHandshake與afterHandshake兩個(gè)方法，它作用在websocket建立連接握手前后階段，通過(guò)在beforeHandshake方法中返回的布爾值，能決定是否允許建立websocket連接，基于此，我們就能實(shí)現(xiàn)服務(wù)器的安全訪問(wèn)控制了

使用方式

修改registerWebSocketHandlers配置，增加HandshakeInterceptor攔截器實(shí)現(xiàn)類，來(lái)實(shí)現(xiàn)自定義的攔截策略

詳細(xì)代碼參考：https://github.com/netbuffer/spring-boot-websocket-demo/blob/master/src/main/java/cn/netbuffer/springboot/websocket/demo/interceptor/RbacHandshakeInterceptor.java

攔截方案一基于cookie的攔截策略

編寫(xiě)基于cookie的攔截方法，從cookie中解析出訪問(wèn)憑證信息token值，實(shí)際的token值應(yīng)該基于用戶輸入的相關(guān)訪問(wèn)口令來(lái)簽發(fā)生成的，要結(jié)合所用的shiro、spring security、sa-token等安全認(rèn)證框架來(lái)綜合考慮~，token值是經(jīng)過(guò)安全算法生成的，不能被偽造，可以使用jwt（json web token）來(lái)承載

編寫(xiě)前端測(cè)試代碼同服務(wù)器進(jìn)行通信
詳細(xì)代碼參考：https://github.com/netbuffer/UItest/blob/master/websocket/index.html
第一次訪問(wèn)沒(méi)有攜帶cookie中的token值，結(jié)果會(huì)被服務(wù)器拒絕連接