令牌认证

Spring Security OAuth 提供令牌安全支持,包括 JSON Web Token (JWT)。您可以在 Web 应用程序(包括 WebSocket 上的 STOMP 交互)中使用它作为认证机制,如上一节所述(即通过基于 cookie 的会话维护身份)。

同时,基于 cookie 的会话并不总是最佳选择(例如,在不维护服务器端会话的应用程序中,或在通常使用请求头进行认证的移动应用程序中)。

WebSocket 协议,RFC 6455“没有规定服务器在 WebSocket 握手期间可以认证客户端的任何特定方式。”然而,在实践中,浏览器客户端只能使用标准的认证头(即基本 HTTP 认证)或 cookie,而不能(例如)提供自定义头。同样,SockJS JavaScript 客户端不提供通过 SockJS 传输请求发送 HTTP 头的方式。参见sockjs-client issue 196。相反,它允许发送可用于发送令牌的查询参数,但这有其自身的缺点(例如,令牌可能会意外地与 URL 一起记录在服务器日志中)。

上述限制适用于基于浏览器的客户端,不适用于基于 Spring Java 的 STOMP 客户端,后者支持通过 WebSocket 和 SockJS 请求发送头。

因此,希望避免使用 cookie 的应用程序可能在 HTTP 协议级别没有好的认证替代方案。他们可能更倾向于在 STOMP 消息协议级别使用请求头进行认证。这样做需要两个简单的步骤:

  1. 使用 STOMP 客户端在连接时传递认证头。

  2. 使用 ChannelInterceptor 处理认证头。

下面的示例使用服务器端配置注册自定义认证拦截器。请注意,拦截器只需要认证并在 CONNECT Message 上设置用户头。Spring 会记录并保存已认证的用户,并将其与同一会话上的后续 STOMP 消息关联起来。以下示例展示了如何注册自定义认证拦截器:

  • Java

  • Kotlin

@Configuration
@EnableWebSocketMessageBroker
public class WebSocketConfiguration implements WebSocketMessageBrokerConfigurer {

	@Override
	public void configureClientInboundChannel(ChannelRegistration registration) {
		registration.interceptors(new ChannelInterceptor() {
			@Override
			public Message<?> preSend(Message<?> message, MessageChannel channel) {
				StompHeaderAccessor accessor = MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class);
				if (StompCommand.CONNECT.equals(accessor.getCommand())) {
					// Access authentication header(s) and invoke accessor.setUser(user)
				}
				return message;
			}
		});
	}
}
@Configuration
@EnableWebSocketMessageBroker
class WebSocketConfiguration : WebSocketMessageBrokerConfigurer {

	override fun configureClientInboundChannel(registration: ChannelRegistration) {
		registration.interceptors(object : ChannelInterceptor {
			override fun preSend(message: Message<*>, channel: MessageChannel): Message<*> {
				val accessor = MessageHeaderAccessor.getAccessor(message,
					StompHeaderAccessor::class.java)
				if (StompCommand.CONNECT == accessor!!.command) {
					// Access authentication header(s) and invoke accessor.setUser(user)
				}
				return message
			}
		})
	}
}

此外,请注意,目前在使用 Spring Security 对消息进行授权时,需要确保认证 ChannelInterceptor 配置位于 Spring Security 的配置之前。最好通过在自己的 WebSocketMessageBrokerConfigurer 实现中声明自定义拦截器并使用 @Order(Ordered.HIGHEST_PRECEDENCE + 99) 进行标记来实现这一点。