使用 Sa-Token 解决 WebSocket 握手身份认证

前言

相比于 Http 的单项通信方式,WebSocket 可以从服务器向浏览器主动推送消息,这一特性可以帮助我们完成诸如 订单消息推送、IM实时聊天 等一些特定业务。

然而 WebSocket 本身对“身份认证”并没有提供直接的支持,对客户端的连接默认是“来者不拒”,所以认证授权这个事,得我们自己动手。

Sa-Token 是一个 java 权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2、微服务网关鉴权 等一系列权限相关问题。
GitHub 开源地址:https://github.com/dromara/sa-token

下面我们介绍一下如何在 WebSocket 中集成 Sa-Token 身份认证,保证连接的安全性。

两种集成方式

我们将依次介绍目前最常见的两种集成 WebSocket 方式:

  • Java 原生版:javax.websocket.Session
  • Spring 封装版:WebSocketSession

废话不多说,直接开搞:

方式一:Java 原生版 javax.websocket.Session

1、首先是引入 pom.xml 依赖
<!-- SpringBoot依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<!-- WebScoket 依赖 -->
<dependency>  
    <groupId>org.springframework.boot</groupId>  
    <artifactId>spring-boot-starter-websocket</artifactId>  
</dependency>

<!-- Sa-Token 权限认证, 在线文档:http://sa-token.dev33.cn/ -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.29.0</version>
</dependency>
2、登录接口,用于获取会话token
/**
 * 登录测试 
 */
@RestController
@RequestMapping("/acc/")
public class LoginController {

    // 测试登录  ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
    @RequestMapping("doLogin")
    public SaResult doLogin(String name, String pwd) {
        // 此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对 
        if("zhang".equals(name) && "123456".equals(pwd)) {
            StpUtil.login(10001);
            return SaResult.ok("登录成功").set("token", StpUtil.getTokenValue());
        }
        return SaResult.error("登录失败");
    }

    // ... 
    
}
3、WebSocket连接处理
@Component
@ServerEndpoint("/ws-connect/{satoken}")
public class WebSocketConnect {

    /**
     * 固定前缀 
     */
    private static final String USER_ID = "user_id_";
    
     /** 
      * 存放Session集合,方便推送消息 (javax.websocket.Session)  
      */
    private static ConcurrentHashMap<String, Session> sessionMap = new ConcurrentHashMap<>();
    
    // 监听:连接成功
    @OnOpen
    public void onOpen(Session session, @PathParam("satoken") String satoken) throws IOException {
        
        // 根据 token 获取对应的 userId 
        Object loginId = StpUtil.getLoginIdByToken(satoken);
        if(loginId == null) {
            session.close();
            throw new SaTokenException("连接失败,无效Token:" + satoken);
        }
        
        // put到集合,方便后续操作 
        long userId = SaFoxUtil.getValueByType(loginId, long.class);
        sessionMap.put(USER_ID + userId, session);
        
        // 给个提示 
        String tips = "Web-Socket 连接成功,sid=" + session.getId() + ",userId=" + userId;
        System.out.println(tips);
        sendMessage(session, tips);
    }

    // 监听: 连接关闭
    @OnClose
    public void onClose(Session session) {
        System.out.println("连接关闭,sid=" + session.getId());
        for (String key : sessionMap.keySet()) {
            if(sessionMap.get(key).getId().equals(session.getId())) {
                sessionMap.remove(key);
            }
        }
    }
    
    // 监听:收到客户端发送的消息 
    @OnMessage
    public void onMessage(Session session, String message) {
        System.out.println("sid为:" + session.getId() + ",发来:" + message);
    }
    
    // 监听:发生异常 
    @OnError
    public void onError(Session session, Throwable error) {
        System.out.println("sid为:" + session.getId() + ",发生错误");
        error.printStackTrace();
    }
    
    // ---------
    
    // 向指定客户端推送消息 
    public static void sendMessage(Session session, String message) {
        try {
            System.out.println("向sid为:" + session.getId() + ",发送:" + message);
            session.getBasicRemote().sendText(message);
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }
    
    // 向指定用户推送消息 
    public static void sendMessage(long userId, String message) {
        Session session = sessionMap.get(USER_ID + userId);
        if(session != null) {
            sendMessage(session, message);
        }
    }
    
}
4、WebSocket配置
/**
 * 开启WebSocket支持
 */
@Configuration  
public class WebSocketConfig { 
    
    @Bean  
    public ServerEndpointExporter serverEndpointExporter() {  
        return new ServerEndpointExporter();  
    }
    
} 
5、启动类
@SpringBootApplication
public class SaTokenWebSocketApplication {

    public static void main(String[] args) {
        SpringApplication.run(SaTokenWebSocketApplication.class, args); 
    }
    
}

搭建完毕,启动项目

6、测试

1、首先我们访问登录接口,拿到会话token

http://localhost:8081/acc/doLogin?name=zhang&pwd=123456

如图所示:

令牌

2、然后我们随便找一个WebSocket在线测试页面进行连接
,例如:https://www.bejson.com/httputil/websocket/

连接地址:

ws://localhost:8081/ws-connect/302ee2f8-60aa-42aa-8ecb-eeae5ba57015

如图所示:

测试连接

3、如果我们输入一个错误的token,会怎样呢?

连接失败

可以看到,连接会被立即断开!

方式二:Spring 封装版:WebSocketSession

1、同上:首先是引入 pom.xml 依赖
<!-- SpringBoot依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<!-- WebScoket 依赖 -->
<dependency>  
    <groupId>org.springframework.boot</groupId>  
    <artifactId>spring-boot-starter-websocket</artifactId>  
</dependency>

<!-- Sa-Token 权限认证, 在线文档:http://sa-token.dev33.cn/ -->
<dependency>
    <groupId>cn.dev33</groupId>
    <artifactId>sa-token-spring-boot-starter</artifactId>
    <version>1.29.0</version>
</dependency>
2、登录接口,用于获取会话token
/**
 * 登录测试 
 */
@RestController
@RequestMapping("/acc/")
public class LoginController {

    // 测试登录  ---- http://localhost:8081/acc/doLogin?name=zhang&pwd=123456
    @RequestMapping("doLogin")
    public SaResult doLogin(String name, String pwd) {
        // 此处仅作模拟示例,真实项目需要从数据库中查询数据进行比对 
        if("zhang".equals(name) && "123456".equals(pwd)) {
            StpUtil.login(10001);
            return SaResult.ok("登录成功").set("token", StpUtil.getTokenValue());
        }
        return SaResult.error("登录失败");
    }

    // ... 
    
}
3、WebSocket 连接处理
/**
 * 处理 WebSocket 连接 
 */
public class MyWebSocketHandler extends TextWebSocketHandler {

    /**
     * 固定前缀 
     */
    private static final String USER_ID = "user_id_";
    
    /**
     * 存放Session集合,方便推送消息
     */
    private static ConcurrentHashMap<String, WebSocketSession> webSocketSessionMaps = new ConcurrentHashMap<>();

    // 监听:连接开启 
    @Override
    public void afterConnectionEstablished(WebSocketSession session) throws Exception {

        // put到集合,方便后续操作 
        String userId = session.getAttributes().get("userId").toString();
        webSocketSessionMaps.put(USER_ID + userId, session);
        

        // 给个提示 
        String tips = "Web-Socket 连接成功,sid=" + session.getId() + ",userId=" + userId;
        System.out.println(tips);
        sendMessage(session, tips);
    }
    
    // 监听:连接关闭 
    @Override
    public void afterConnectionClosed(WebSocketSession session, CloseStatus status) throws Exception {
        // 从集合移除 
        String userId = session.getAttributes().get("userId").toString();
        webSocketSessionMaps.remove(USER_ID + userId);
        
        // 给个提示 
        String tips = "Web-Socket 连接关闭,sid=" + session.getId() + ",userId=" + userId;
        System.out.println(tips);
    }

    // 收到消息 
    @Override
    public void handleTextMessage(WebSocketSession session, TextMessage message) throws IOException {
        System.out.println("sid为:" + session.getId() + ",发来:" + message);
    }

    // ----------- 
    
    // 向指定客户端推送消息 
    public static void sendMessage(WebSocketSession session, String message) {
        try {
            System.out.println("向sid为:" + session.getId() + ",发送:" + message);
            session.sendMessage(new TextMessage(message));
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }
    
    // 向指定用户推送消息 
    public static void sendMessage(long userId, String message) {
        WebSocketSession session = webSocketSessionMaps.get(USER_ID + userId);
        if(session != null) {
            sendMessage(session, message);
        }
    }
    
}
4、WebSocket 前置拦截器
/**
 * WebSocket 握手的前置拦截器 
 */
public class WebSocketInterceptor implements HandshakeInterceptor {

    // 握手之前触发 (return true 才会握手成功 )
    @Override
    public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler handler,
            Map<String, Object> attr) {
        
        System.out.println("---- 握手之前触发 " + StpUtil.getTokenValue());
        
        // 未登录情况下拒绝握手 
        if(StpUtil.isLogin() == false) {
            System.out.println("---- 未授权客户端,连接失败");
            return false;
        }
        
        // 标记 userId,握手成功 
        attr.put("userId", StpUtil.getLoginIdAsLong());
        return true;
    }

    // 握手之后触发 
    @Override
    public void afterHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler,
            Exception exception) {
        System.out.println("---- 握手之后触发 ");
    }
    
}
5、WebSocket 配置
/**
 * WebSocket 相关配置 
 */
@Configuration
@EnableWebSocket
public class WebSocketConfig implements WebSocketConfigurer {
    
    // 注册 WebSocket 处理器 
    @Override
    public void registerWebSocketHandlers(WebSocketHandlerRegistry webSocketHandlerRegistry) {
        webSocketHandlerRegistry
                // WebSocket 连接处理器 
                .addHandler(new MyWebSocketHandler(), "/ws-connect")
                // WebSocket 拦截器 
                .addInterceptors(new WebSocketInterceptor())
                // 允许跨域 
                .setAllowedOrigins("*");
    }

}
6、启动类
/**
 * Sa-Token 整合 WebSocket 鉴权示例 
 */
@SpringBootApplication
public class SaTokenWebSocketSpringApplication {

    public static void main(String[] args) {
        SpringApplication.run(SaTokenWebSocketSpringApplication.class, args); 
    }
    
}

启动项目,开始测试

7、测试

1、首先访问登录接口,拿到会话token

http://localhost:8081/acc/doLogin?name=zhang&pwd=123456

如图所示:

令牌

2、然后打开WebSocket在线测试页面进行连接
,例如:https://www.bejson.com/httputil/websocket/

连接地址:

ws://localhost:8081/ws-connect?satoken=fe6e7dbd-38b8-4de2-ae05-cda7e36bf2f7

如图所示:

测试连接

注:这里采用 url 传递 Token 是因为在第三方测试页面上这样比较方便,真实项目中可以从Cookie、Header参数、url参数 三种方式任选其一传递会话令牌,效果同等

3、如果输入一个错误的 Token

连接失败

连接失败!

示例地址

以上代码已经上传git,示例地址:
码云:sa-token-demo-websocket

参考资料

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,185评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,445评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,684评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,564评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,681评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,874评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,025评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,761评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,217评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,545评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,694评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,351评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,988评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,778评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,007评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,427评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,580评论 2 349

推荐阅读更多精彩内容