SpringMVC Websockets 使用 Spring Security 进行用户身份验证消息传递

2023-11-28

我看过一些关于这个问题的帖子，但似乎没有一个真正直接回答这个问题。

背景，我安装了 spring security，工作正常，并且在应用程序的其他部分顺利运行。我的用户名是“开发者”。

在 Java 7、Glassfish 4、Spring 4 上运行，并使用 Angular + StompJS

让我们在这里获取一些代码：

package com.myapp.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.messaging.simp.config.MessageBrokerRegistry;
import org.springframework.web.socket.config.annotation.AbstractWebSocketMessageBrokerConfigurer;
import org.springframework.web.socket.config.annotation.EnableWebSocketMessageBroker;
import org.springframework.web.socket.config.annotation.StompEndpointRegistry;

@Configuration
@EnableWebSocketMessageBroker
public class WebSocketBrokerConfig extends AbstractWebSocketMessageBrokerConfigurer {

    public final static String userDestinationPrefix = "/user/";

    @Override
    public void registerStompEndpoints(StompEndpointRegistry registry) {
        registry.addEndpoint("/stomp").withSockJS().setSessionCookieNeeded(true);
    }

    @Override
    public void configureMessageBroker(MessageBrokerRegistry registry) {
        registry.setApplicationDestinationPrefixes("/app");
        //registry.enableStompBrokerRelay("/topic,/user");
        registry.enableSimpleBroker("/topic", "/user");
        registry.setUserDestinationPrefix(userDestinationPrefix);


    }


}

好的，现在这是一个控制器，每 3 秒发送一次内容：

import org.springframework.messaging.simp.SimpMessagingTemplate;

…

@Autowired
private SimpMessagingTemplate messagingTemplate;

…

@Scheduled(fixedDelay = 3000)
public void sendStuff () 
{

    Map<String, Object> map = new HashMap<>();
    map.put(MessageHeaders.CONTENT_TYPE, MimeTypeUtils.APPLICATION_JSON);
    System.out.print("Sending data! " + System.currentTimeMillis());
    //messagingTemplate.convertAndSend("/topic/notify", "Public: " + System.currentTimeMillis());

    messagingTemplate.convertAndSendToUser("developer", "/notify", "User: " + System.currentTimeMillis());
    messagingTemplate.convertAndSendToUser("notYou", "/notify", "Mr Developer Should Not See This: " + System.currentTimeMillis());
}

最后是使用 SockJS 的 JavaScript

    var client = new SockJS('/stomp');
    var stomp = Stomp.over(client);
    stomp.connect({}, function(s) {

        //This should work
        stomp.subscribe('/user/' + s.headers['user-name'] + '/notify', console.debug);

        //This SHOULD NOT
        stomp.subscribe('/user/notYou/notify', console.debug);

    });
    client.onclose = $scope.reconnect;

最后，为了好玩，pom.xml

    <dependency>
        <groupId>javax.websocket</groupId>
        <artifactId>javax.websocket-api</artifactId>
        <version>1.0</version>
    </dependency>
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-messaging</artifactId>
        <version>4.0.6.RELEASE</version>
    </dependency>
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-websocket</artifactId>
        <version>4.0.6.RELEASE</version>
    </dependency>

这是有效的：

我可以在客户端和服务器之间进行精彩的来回通信
它很快
messagingTemplate.convertAndSend and messagingTemplate.convertAndSendToUser

这就是问题所在（如上所述）：任何人都可以订阅其他用户的提要。

现在，还有一些其他版本，我将在下面列出它们，并解释为什么答案都是错误的：

开放式 WebSocket 连接存在哪些安全问题？

具有stomp安全性的Spring websocket - 每个用户都可以订阅任何其他用户队列？

Websocket：如何向目标用户推送消息

问题是这样的：

Look at messagingTemplate.convertAndSendToUser- 所做的就是添加“用户前缀”，然后添加提供的用户名，然后使用messagingTemplate.convertAndSend这不适用安全性。
然后人们说“你需要像其他地方一样使用 spring security” - 这里的问题是 A) 我正在异步发送数据到客户端，所以 B) 我将完全在用户会话之外使用此代码，可能来自不同的用户（例如向另一个登录用户发送通知）。

让我知道这是否与其他帖子关系太密切，但这对我来说是一个大问题，我想公正地对待这个问题。

如果有人需要更多详细信息，我可以获取更多详细信息。

新的 Spring Security 4x 现在完全支持 Web Socket，您可以参考链接预览 Spring Security WebSocket 支持

Or SpringSecuritySupportWebSocket.html如果您需要完整的示例，

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

Spring

SpringMVC

SpringSecurity

WebSocket

SpringMVC Websockets 使用 Spring Security 进行用户身份验证消息传递的相关文章

类型已知，但方法指的是缺失类型

我对 java 和 Eclipse 不太有经验但遇到以下问题我正在写类似的东西 Point3D myPoint myClass myMethod arg 我收到错误方法 myMethod myType arg 引用缺失的类型 Poin
Java 小程序在 Mac 上闪烁

这个问题很奇怪问题并非在每个平台上都会发生我在使用 MacOSX 的 Google Chrome 中出现了这种情况但在 Safari 中却没有出现这种情况对于使用 Windows 的朋友来说在 Google Chrome 上运行得
如何准确判断 double 是否为整数？ [复制]

这个问题在这里已经有答案了具体来说在 Java 中我如何确定double是一个整数为了澄清我想知道如何确定 double 实际上不包含任何分数或小数我主要关心的是浮点数的性质我想到的方法以及我通过谷歌找到的方法基本上遵循以
Spring 5.0.3 依赖问题

升级到 spring 5 0 3 后我遇到以下问题 09 25 29 141 ERROR org jboss msc service fail ServerService Thread Pool 175 MSC000001 Failed t
java项目中无法加载类“org.slf4j.impl.StaticLoggerBinder”错误？ [复制]

这个问题在这里已经有答案了我越来越Failed to load class org slf4j impl StaticLoggerBinder 错误我想将记录器写入文件所以我使用了 log4j jar 并使用 apache tomca
从 CLI 部署 Maven 项目？

在 IDE 中构建并运行良好 cd home thufir NetBeansProjects HelloMaven JAVA HOME usr lib jvm java 8 openjdk amd64 home thufir local s
避免 @Secured 注释的重复值

我正在尝试使用以下方法来保护我的服务方法 Secured如下 public interface IUserService Secured ROLE ROLE1 ROLE ROLE2 ResponseEntity saveUser Creat
Time.valueOf 方法返回错误值

我使用 Time valueOf 方法将字符串 09 00 00 转换为 Time 对象如下所示 Time valueOf LocalTime parse 09 00 00 当我调用 getTime 来显示我得到的值时 28800000
jDBI中如何进行内查询？

我怎样才能在 jDBI 中执行这样的事情 SqlQuery select id from foo where name in
如何使用 Java 在 selenium webdriver 中打开新选项卡或如何使用使用 selenium webdriver 的操作类在 selenium 中按 ctrl +T [重复]

这个问题在这里已经有答案了如何使用 Java 在 Selenium Webdriver 中按 CTRL T 或者如何使用 Java 在 selenium webdriver 中打开新选项卡简单步骤 1 打开google com 不必触
了解Kafka流groupBy和window

我无法理解 kafka 流中的 groupBy groupById 和窗口的概念我的目标是聚合一段时间内例如 5 秒的流数据我的流数据看起来像 value 0 time 1533875665509 value 10 time 153
接口是否像对象一样对待？

为什么下面的代码可以工作 interface I class A implements I public String toString return in a class B extends A public String toStrin
如何在 spring-data 中强制使用 CrudRepository 进行预加载？

我有一个实体其中包含List就是这样lazy默认加载 interface MyEntityRepository extends CrudRepository
获取 Future 对象的进度的能力

参考 java util concurrent 包和 Future 接口我注意到除非我弄错了只有 SwingWorker 实现类才能启动冗长的任务并能够查询进度这就引出了以下问题有没有办法在非 GUI 非 Swing 应用程序映
使用属性中的值列表自动装配 bean

我的 XML 文件
为什么 java.util.Arraylist#clear 按照 OpenJDK 中的方式实现？

http grepcode com file repository grepcode com java root jdk openjdk 6 b14 java util ArrayList java 473 http grepcode co
如何使用eclipse调试JSP tomcat服务？

我想使用 Eclipse IDE 调试器来调试单独运行的 JSP Struts Tomcat Hibernate 应用程序堆栈如何设置 java JVM 和 eclipse 以便设置断点监视变量值并查看当前正在执行的代码我刚刚用谷歌搜
在java中执行匿名pl/sql块并获取结果集

我想执行匿名 PL SQL 并需要获取结果集对象我得到了可以通过在 PL SQL 块内使用游标来完成的代码但 PL SQL 块本身将以文本形式来自数据库所以我无法编辑该 PL SQL 块并且它只会返回两个值其列名始终相同它将返回
com.sun.xml.ws.message.saaj.SAAJHeader 无法转换为 com.sun.xml.ws.security.opt.impl.outgoing.SecurityHeader

我正在尝试访问第三方 Web 服务该服务要求我创建一个传递时间信息用户名和密码的安全标头我在网上搜索了可行的示例并尝试了多种方法我正在尝试使用 Java 6 中内置的内容来做到这一点我不确定我做错了什么从 WSDL 生成 We
Android ClassNotFoundException：在路径上找不到类

10 22 15 29 40 897 E AndroidRuntime 2561 FATAL EXCEPTION main 10 22 15 29 40 897 E AndroidRuntime 2561 java lang Runtime

随机推荐

为什么模板参数不推导只作为返回类型？

如果我不在函数参数列表中使用模板参数类型 gt 仅作为返回类型则不会有任何推论 template
多地图空间问题：Guava

在我的 Java 代码中我使用 Guava 的 Multimap com google common collect Multimap 通过使用这个 Multimap
散列密码的最佳方法是什么？在 PHP 7 中，password_hash 是否足够安全或者是否有更安全的方法？

散列密码的最佳方法是什么我知道一种方法可以很好地完成工作但我想知道是否有更好的方法在 PHP 7 中对密码进行哈希处理password hash password hash 足够好吗我想知道在 PHP 7 中是否有比 password
SpringTemplate 没有找到适合响应类型的 HttpMessageConverter

我在使用 Spring Rest 模板时收到以下错误但我已经为 json 响应定义了 jackson 当我使用其余客户端查询 url 时我得到了很好的响应 org springframework web client RestClien
Python Tornado渲染静态目录

我正在尝试使用 Python 中的 Tornado API 从静态目录提供页面这个答案与我想做的类似但我似乎无法让它发挥作用我的目录结构如下所示所有静态文件都位于名为的文件夹内web 我有一个像这样的网络服务器设置 class Ap
录制音频并以 Wav 或 MP3 形式上传到服务器

我不确定我问的地方是否正确但基本上我正在寻找有关最佳方法的建议通过网站上的麦克风录制音频并将音频以 Wav 或 MP3 文件上传到服务器有没有人对闪光灯有丰富的经验这会很难做到吗目前市场上有什么可以做到这一点吗我正在考虑将其实现
如何为“日期”创建索引？

如何为日期创建索引 CentOS7 MongoDB服务器版本 3 4 2 db animals createIndex date ok 0 errmsg The field key must be an object but got s
web组件shadow dom中的rem

我们知道我们可以设置font size on html as the rem基于普通 DOM 节点我使用这个技巧使我的应用程序的字体更加灵活可以通过 js 动态更改然而当我创建一个Web组件时我发现rem即使我尝试添加样式影子
GWT-RPC 与 HTTP 调用 - 哪个更好？

我正在评估使用 GWT RPC 进行的调用和HTTP调用我的 appln 服务作为 Java servlet 托管我当前使用 HTTPProxy 连接从它们获取数据我希望将它们转换为 GWT RPC 调用如果这能带来性能改进我想知
云端点收集参数

我正在使用 Google App Engine Cloud Endpoints 并且正在尝试接收集合参数不确定我是否能做到这一点我知道我可以返回列表或任何集合 This public List
选择悬停项目之前的所有项目

我有一个带有 5 个内联星的容器我需要的是当你将鼠标悬停在一颗星星上时该星星和它之前的所有星星都会获得不同的背景我使用的是精灵所以我改变了背景位置 Markup div class wpr span class star span
Gson：直接将String转换为JsonObject（无POJO）

似乎无法弄清楚这一点我正在尝试在 GSON 中进行 JSON 树操作但在转换为之前我不知道或没有 POJO 来将字符串转换为JsonObject 有没有办法直接从String to JsonObject 我尝试过以下 Scala 语法
Android 从资源中获取颜色列表

我有一个颜色列表
是否可以修改 beforeSend 回调中的 XMLHttpRequest 数据？

是否可以通过修改 beforeSend 回调中的 XMLHttpRequest 对象来修改 Ajax 请求中发送的数据如果是的话我该怎么做是的你可以修改它签名beforeSend is actually 在 jQuery 1 4 中
catch事务连接后的SqlTransaction为null

我有一个循环我用不同的参数值调用存储过程下次通话cmd ExecuteNonQuery 我使用事务来保存全部或回滚并使用 checkBox2 始终保存我发现一个问题但找不到解决方案在第一个问题之后当 catch 块被触发时事
CSS 过渡和 jQuery 淡入淡出之间的冲突

我正在尝试创建一个带有小菜单的瓷砖墙display none一些基于其类别的元素在我的 CSS 中我有 CSS 转换这会导致fadeIn and fadeOut不工作如果我添加一个时间该元素将需要那么长时间才能消失但实际上并没有
VB6 Timer 控件是否创建单独的线程？

有VB6吗Timer控件启动时创建一个单独的处理线程 VB6 定时器控件不是某种在后台线程上运行的忙等待循环他们根本就没有真正跑据我所知当您设置 Enabled True 或更改 Interval 如果它是 0 时控件会调用 Se
这是导入驻留在任意文件夹中的 python 脚本的正确方法吗？

此片段来自较早的答案大约有一年了答案没有被接受我是 Python 新手我发现系统路径真的很痛苦我在不同目录中的脚本中编写了一些函数我希望能够将它们导入到新项目中而不必费力这是片段 def import path fullpa
针对 Mac OS X 10.8 之前的目标进行编译时，Base.lproj/MainMenu.xib 不可用

我对 Cocoa 开发非常陌生我刚刚创建了 Cocoa 项目Xcode 5 我变了部署目标从 10 8 到 10 6 现在我收到这个警告 path to my project Base lproj MainMenu xib 在以下情况下不
SpringMVC Websockets 使用 Spring Security 进行用户身份验证消息传递

我看过一些关于这个问题的帖子但似乎没有一个真正直接回答这个问题背景我安装了 spring security 工作正常并且在应用程序的其他部分顺利运行我的用户名是开发者在 Java 7 Glassfish 4 Spring 4

SpringMVC Websockets 使用 Spring Security 进行用户身份验证消息传递

SpringMVC Websockets 使用 Spring Security 进行用户身份验证消息传递 的相关文章

随机推荐

热门标签

SpringMVC Websockets 使用 Spring Security 进行用户身份验证消息传递的相关文章