令牌身份验证

Spring Security OAuth 提供了对基于令牌的安全性的支持,包括 JSON Web Token (JWT)。您可以将其用作 Web 应用程序中的身份验证机制,包括 STOMP 通过 WebSocket 的交互,如上一节所述(即,通过基于 cookie 的会话维护身份)。

同时,基于 cookie 的会话并不总是最适合的(例如,在不维护服务器端会话的应用程序中,或在通常使用标头进行身份验证的移动应用程序中)。

WebSocket 协议,RFC 6455 “没有规定服务器在 WebSocket 握手期间对客户端进行身份验证的任何特定方法。” 然而,在实践中,浏览器客户端只能使用标准身份验证标头(即基本 HTTP 身份验证)或 cookie,并且不能(例如)提供自定义标头。同样,SockJS JavaScript 客户端不提供将 HTTP 标头与 SockJS 传输请求一起发送的方法。见 sockjs-client 问题 196。相反,它确实允许发送查询参数,您可以使用这些参数发送令牌,但这有其自身的缺点(例如,令牌可能会在服务器日志中与 URL 意外记录)。

上述限制适用于基于浏览器的客户端,不适用于基于 Spring Java 的 STOMP 客户端,该客户端支持在 WebSocket 和 SockJS 请求中发送标头。

因此,希望避免使用 cookie 的应用程序可能在 HTTP 协议级别没有很好的身份验证替代方案。他们可能更喜欢在 STOMP 消息协议级别使用标头进行身份验证,而不是使用 cookie。这样做需要两个简单的步骤

  1. 使用 STOMP 客户端在连接时传递身份验证标头。

  2. 使用 ChannelInterceptor 处理身份验证标头。

以下示例使用服务器端配置来注册自定义身份验证拦截器。请注意,拦截器只需要对 CONNECT Message 进行身份验证并设置用户标头。Spring 会记录并保存已验证的用户,并将其与同一会话中的后续 STOMP 消息关联起来。以下示例展示了如何注册自定义身份验证拦截器

@Configuration
@EnableWebSocketMessageBroker
public class MyConfig implements WebSocketMessageBrokerConfigurer {

	@Override
	public void configureClientInboundChannel(ChannelRegistration registration) {
		registration.interceptors(new ChannelInterceptor() {
			@Override
			public Message<?> preSend(Message<?> message, MessageChannel channel) {
				StompHeaderAccessor accessor =
						MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class);
				if (StompCommand.CONNECT.equals(accessor.getCommand())) {
					Authentication user = ... ; // access authentication header(s)
					accessor.setUser(user);
				}
				return message;
			}
		});
	}
}

另外,请注意,当您使用 Spring Security 的消息授权时,目前您需要确保身份验证 ChannelInterceptor 配置的顺序在 Spring Security 之前。最好通过在 WebSocketMessageBrokerConfigurer 的自己的实现中声明自定义拦截器来完成此操作,该实现标记为 @Order(Ordered.HIGHEST_PRECEDENCE + 99)