我有一个具有某种逻辑的端点(/ create),处理过程需要3-4分钟,因此我使用了Rabbitmq,一旦端点接收到请求,它将接受主体并将消息发布到侦听器Rabbitmq中侦听消息并处理请求,现在我想通知用户他的请求已成功处理。
所以我继续使用websocket,因为我正在使用基于oauth的身份验证,因此无法进行网络套接字工作
这是我编写的代码:
SocketConfig.java
@Configuration
@EnableWebSocketMessageBroker
public class SocketConfig implements WebSocketMessageBrokerConfigurer {
@Override
public void configureMessageBroker(MessageBrokerRegistry config) {
config.enableSimpleBroker("/topic","/secured/queue");
//config.setApplicationDestinationPrefixes("/app");
//config.setUserDestinationPrefix("/secured/user");
}
@Override
public void registerStompEndpoints(StompEndpointRegistry registry) {
registry.addEndpoint("/secured/messagereg").setAllowedOrigins("*").withSockJS();
}
SocketHandler.java
@Configuration
public class SocketHandler extends AbstractSecurityWebSocketMessageBrokerConfigurer {
@Override
protected boolean sameOriginDisabled() {
return true;
}
@Override
protected void configureInbound(MessageSecurityMetadataSourceRegistry messages) {
messages
.simpDestMatchers("/secured/**", "/secured/**/**").authenticated()
.anyMessage().authenticated();
}
}
WebSecurityConfig.java
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Profile("!test")
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private Auth0PropertyConfig config;
@Override
protected void configure(HttpSecurity http) throws Exception {
JwtWebSecurityConfigurer
.forRS256(config.getAudience(), config.getIssuer())
.configure(http)
.cors()
.and()
.csrf().disable()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
;
}
}
clientCode
const socket = new SockJs("/secured/messagereg/?access_token="+token);
this.setState({ clientRef: Stomp.over(socket) }, () =>
this.state.clientRef.connect({},
frame => {
this.setState({ connection: true });
this.state.clientRef.subscribe("/user/secured/queue/reply", message => {
console.log("asd received ----------" + message.body);
this.setState(prevs => ({
message: [...prevs.message, message]
}));
});
},
error => {
console.log("Stomp protocol error." + error);
}
)
);
连接到套接字时,我得到401的未授权。
答案 0 :(得分:1)
我认为:推送消息传递模式(例如,使用STOMP)适合这种情况,但最终取决于您的体系结构原理。您还可以轮询服务器以获取结果(使用REST API),该结果既具有优点(共享安全体系结构)又具有缺点(客户端代码,流量和响应时间开销)。
答案:
为了使您的代码正常工作,我认为您需要在SocketConfig.java中使用另一种方法,该方法将挂接到OAUTH过滤器中(或您可能使用的任何方法)。
重要- websocket身份验证不重用现有的Spring Security上下文。这就是为什么您需要再次实现auth的原因,例如,在SocketConfig类中使用WebSocketMessageBrokerConfigurer的方法configureClientInboundChannel。
以下示例假定您以前已经获得了OAUTH令牌,并且仅用于重新认证websocket连接。在StompHeaderAccessor(最后三行)中设置用户引用将使您的代码能够向正确的用户发送消息。
它还要求在消息头中设置OAUTH令牌,这与示例中的终结点参数相反。我认为这对于websocks消息传递可能更安全,因为如果您使用wss,则消息本身是在协议级别加密的。
@Autowired
private YourOauthService auth;
@Override
public void configureClientInboundChannel(ChannelRegistration registration) {
registration.interceptors(new ChannelInterceptor() {
@Override
public Message<?> preSend(Message<?> message, MessageChannel channel) {
StompHeaderAccessor accessor =
MessageHeaderAccessor.getAccessor(message,
StompHeaderAccessor.class);
if (StompCommand.CONNECT.equals(accessor.getCommand())) {
String token = accessor.removeNativeHeader("Authorization").get(0);
Authentication user = auth.getAuthentication(token);
accessor.setUser(user);
}
return message;
}
});
}
我在https://robertleggett.wordpress.com/2015/05/27/websockets-with-spring-spring-security/
中找到了一些更有趣的示例