WebSocket 安全
Spring Security 4 添加了对保护 Spring 的 WebSocket 支持 的支持。本节介绍如何使用 Spring Security 的 WebSocket 支持。
WebSocket 身份验证
WebSocket 重用在建立 WebSocket 连接时在 HTTP 请求中找到的相同身份验证信息。这意味着 HttpServletRequest 上的 Principal 将被传递给 WebSocket。如果您使用的是 Spring Security,则 HttpServletRequest 上的 Principal 会自动被覆盖。
更具体地说,为了确保用户已通过您的 WebSocket 应用程序身份验证,您只需确保您已设置 Spring Security 来对您的基于 HTTP 的 Web 应用程序进行身份验证。
WebSocket 授权
Spring Security 4.0 通过 Spring Messaging 抽象引入了对 WebSockets 的授权支持。
在 Spring Security 5.8 中,此支持已更新为使用 AuthorizationManager API。
要使用 Java 配置配置授权,只需包含 @EnableWebSocketSecurity 注释并发布 AuthorizationManager<Message<?>> bean,或者在 XML 中使用 use-authorization-manager 属性。一种方法是使用 AuthorizationManagerMessageMatcherRegistry 指定端点模式,如下所示
-
Java
-
Kotlin
-
Xml
@Configuration
@EnableWebSocketSecurity (1) (2)
public class WebSocketSecurityConfig {
@Bean
AuthorizationManager<Message<?>> messageAuthorizationManager(MessageMatcherDelegatingAuthorizationManager.Builder messages) {
messages
.simpDestMatchers("/user/**").hasRole("USER") (3)
return messages.build();
}
}@Configuration
@EnableWebSocketSecurity (1) (2)
open class WebSocketSecurityConfig { (1) (2)
@Bean
fun messageAuthorizationManager(messages: MessageMatcherDelegatingAuthorizationManager.Builder): AuthorizationManager<Message<*>> {
messages.simpDestMatchers("/user/**").hasRole("USER") (3)
return messages.build()
}
}<websocket-message-broker use-authorization-manager="true"> (1) (2)
<intercept-message pattern="/user/**" access="hasRole('USER')"/> (3)
</websocket-message-broker>| 1 | 任何入站 CONNECT 消息都需要有效的 CSRF 令牌来强制执行 同源策略。 |
| 2 | SecurityContextHolder 在 simpUser 标头属性中填充任何入站请求的用户。 |
| 3 | 我们的消息需要适当的授权。具体来说,任何以 /user/ 开头的入站消息都需要 ROLE_USER。您可以在 WebSocket 授权 中找到有关授权的更多详细信息 |
自定义授权
使用 AuthorizationManager 时,自定义非常简单。例如,您可以发布一个 AuthorizationManager,它要求所有消息都具有 "USER" 角色,使用 AuthorityAuthorizationManager,如下所示
-
Java
-
Kotlin
-
Xml
@Configuration
@EnableWebSocketSecurity (1) (2)
public class WebSocketSecurityConfig {
@Bean
AuthorizationManager<Message<?>> messageAuthorizationManager(MessageMatcherDelegatingAuthorizationManager.Builder messages) {
return AuthorityAuthorizationManager.hasRole("USER");
}
}@Configuration
@EnableWebSocketSecurity (1) (2)
open class WebSocketSecurityConfig {
@Bean
fun messageAuthorizationManager(messages: MessageMatcherDelegatingAuthorizationManager.Builder): AuthorizationManager<Message<*>> {
return AuthorityAuthorizationManager.hasRole("USER") (3)
}
}<bean id="authorizationManager" class="org.example.MyAuthorizationManager"/>
<websocket-message-broker authorization-manager-ref="myAuthorizationManager"/>有几种方法可以进一步匹配消息,如以下更高级的示例所示
-
Java
-
Kotlin
-
Xml
@Configuration
public class WebSocketSecurityConfig {
@Bean
public AuthorizationManager<Message<?>> messageAuthorizationManager(MessageMatcherDelegatingAuthorizationManager.Builder messages) {
messages
.nullDestMatcher().authenticated() (1)
.simpSubscribeDestMatchers("/user/queue/errors").permitAll() (2)
.simpDestMatchers("/app/**").hasRole("USER") (3)
.simpSubscribeDestMatchers("/user/**", "/topic/friends/*").hasRole("USER") (4)
.simpTypeMatchers(MESSAGE, SUBSCRIBE).denyAll() (5)
.anyMessage().denyAll(); (6)
return messages.build();
}
}@Configuration
open class WebSocketSecurityConfig {
fun messageAuthorizationManager(messages: MessageMatcherDelegatingAuthorizationManager.Builder): AuthorizationManager<Message<*>> {
messages
.nullDestMatcher().authenticated() (1)
.simpSubscribeDestMatchers("/user/queue/errors").permitAll() (2)
.simpDestMatchers("/app/**").hasRole("USER") (3)
.simpSubscribeDestMatchers("/user/**", "/topic/friends/*").hasRole("USER") (4)
.simpTypeMatchers(MESSAGE, SUBSCRIBE).denyAll() (5)
.anyMessage().denyAll() (6)
return messages.build();
}
}<websocket-message-broker use-authorization-manager="true">
(1)
<intercept-message type="CONNECT" access="permitAll" />
<intercept-message type="UNSUBSCRIBE" access="permitAll" />
<intercept-message type="DISCONNECT" access="permitAll" />
<intercept-message pattern="/user/queue/errors" type="SUBSCRIBE" access="permitAll" /> (2)
<intercept-message pattern="/app/**" access="hasRole('USER')" /> (3)
(4)
<intercept-message pattern="/user/**" type="SUBSCRIBE" access="hasRole('USER')" />
<intercept-message pattern="/topic/friends/*" type="SUBSCRIBE" access="hasRole('USER')" />
(5)
<intercept-message type="MESSAGE" access="denyAll" />
<intercept-message type="SUBSCRIBE" access="denyAll" />
<intercept-message pattern="/**" access="denyAll" /> (6)
</websocket-message-broker>这将确保
| 1 | 任何没有目标的消息(即除 MESSAGE 或 SUBSCRIBE 类型的消息以外的任何消息)都需要用户进行身份验证 |
| 2 | 任何人都可以订阅 /user/queue/errors |
| 3 | 任何目标以 "/app/" 开头的消息都需要用户具有 ROLE_USER 角色 |
| 4 | 任何以 "/user/" 或 "/topic/friends/" 开头且类型为 SUBSCRIBE 的消息都需要 ROLE_USER |
| 5 | 任何其他类型为 MESSAGE 或 SUBSCRIBE 的消息都会被拒绝。由于 6 我们不需要此步骤,但它说明了如何匹配特定消息类型。 |
| 6 | 任何其他消息都会被拒绝。这是一个好主意,可以确保您不会错过任何消息。 |
WebSocket 授权说明
为了正确地保护您的应用程序,您需要了解 Spring 的 WebSocket 支持。
WebSocket 消息类型授权
您需要了解 SUBSCRIBE 和 MESSAGE 两种消息类型的区别,以及它们在 Spring 中的工作方式。
以聊天应用程序为例
-
系统可以通过
/topic/system/notifications目的地向所有用户发送通知MESSAGE。 -
客户端可以通过
SUBSCRIBE到/topic/system/notifications来接收通知。
虽然我们希望客户端能够 SUBSCRIBE 到 /topic/system/notifications,但我们不想让他们能够向该目的地发送 MESSAGE。如果我们允许向 /topic/system/notifications 发送 MESSAGE,客户端可以直接向该端点发送消息,并冒充系统。
通常,应用程序会拒绝发送到以 代理前缀(/topic/ 或 /queue/)开头的目的地的任何 MESSAGE。
WebSocket 目的地授权
您还应该了解目的地是如何转换的。
以聊天应用程序为例
-
用户可以通过向
/app/chat目的地发送消息来向特定用户发送消息。 -
应用程序会看到消息,确保
from属性被指定为当前用户(我们不能信任客户端)。 -
然后,应用程序使用
SimpMessageSendingOperations.convertAndSendToUser("toUser", "/queue/messages", message)将消息发送给接收者。 -
消息将被转换为
/queue/user/messages-<sessionid>的目的地。
在这个聊天应用程序中,我们希望让我们的客户端监听 /user/queue,它会被转换为 /queue/user/messages-<sessionid>。但是,我们不希望客户端能够监听 /queue/*,因为这会让客户端看到所有用户的消息。
通常,应用程序会拒绝发送到以代理前缀(/topic/ 或 /queue/)开头的消息的任何SUBSCRIBE。我们可能会提供例外情况来处理诸如
出站消息
Spring 框架参考文档包含一个名为“消息流”的部分,描述了消息在系统中的流动方式。请注意,Spring Security 仅保护clientInboundChannel。Spring Security 不会尝试保护clientOutboundChannel。
最主要的原因是性能。对于每条进入的消息,通常会有更多消息出去。我们建议保护对端点的订阅,而不是保护出站消息。
强制执行同源策略
请注意,浏览器不会对 WebSocket 连接强制执行同源策略。这是一个极其重要的考虑因素。
为什么是同源?
考虑以下场景。用户访问bank.com并对其帐户进行身份验证。同一个用户在浏览器中打开另一个标签页并访问evil.com。同源策略确保evil.com无法读取或写入bank.com的数据。
使用 WebSockets,同源策略不适用。事实上,除非bank.com明确禁止,否则evil.com可以代表用户读取和写入数据。这意味着用户可以通过 WebSocket 执行的任何操作(例如转账),evil.com都可以代表该用户执行。
由于 SockJS 试图模拟 WebSockets,它也绕过了同源策略。这意味着开发人员在使用 SockJS 时需要明确地保护他们的应用程序免受外部域的攻击。
将 CSRF 添加到 Stomp 标头
默认情况下,Spring Security 要求在任何CONNECT 消息类型中包含CSRF 令牌。这确保只有具有 CSRF 令牌访问权限的站点才能连接。由于只有同源可以访问 CSRF 令牌,因此外部域不允许建立连接。
通常我们需要在 HTTP 标头或 HTTP 参数中包含 CSRF 令牌。但是,SockJS 不允许这些选项。相反,我们必须在 Stomp 标头中包含令牌。
应用程序可以通过访问名为_csrf的请求属性来获取 CSRF 令牌。例如,以下代码允许在 JSP 中访问CsrfToken
var headerName = "${_csrf.headerName}";
var token = "${_csrf.token}";如果您使用静态 HTML,则可以在 REST 端点上公开CsrfToken。例如,以下代码将在/csrf URL 上公开CsrfToken
-
Java
-
Kotlin
@RestController
public class CsrfController {
@RequestMapping("/csrf")
public CsrfToken csrf(CsrfToken token) {
return token;
}
}@RestController
class CsrfController {
@RequestMapping("/csrf")
fun csrf(token: CsrfToken): CsrfToken {
return token
}
}JavaScript 可以向端点发出 REST 调用,并使用响应来填充headerName 和令牌。
现在,我们可以在 Stomp 客户端中包含令牌
...
var headers = {};
headers[headerName] = token;
stompClient.connect(headers, function(frame) {
...
})在 WebSockets 中禁用 CSRF
目前,使用@EnableWebSocketSecurity时,CSRF 不可配置,但此功能可能会在将来的版本中添加。
|
要禁用 CSRF,您可以使用 XML 支持或自己添加 Spring Security 组件,而不是使用@EnableWebSocketSecurity,如下所示
-
Java
-
Kotlin
-
Xml
@Configuration
public class WebSocketSecurityConfig implements WebSocketMessageBrokerConfigurer {
@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
argumentResolvers.add(new AuthenticationPrincipalArgumentResolver());
}
@Override
public void configureClientInboundChannel(ChannelRegistration registration) {
AuthorizationManager<Message<?>> myAuthorizationRules = AuthenticatedAuthorizationManager.authenticated();
AuthorizationChannelInterceptor authz = new AuthorizationChannelInterceptor(myAuthorizationRules);
AuthorizationEventPublisher publisher = new SpringAuthorizationEventPublisher(this.context);
authz.setAuthorizationEventPublisher(publisher);
registration.interceptors(new SecurityContextChannelInterceptor(), authz);
}
}@Configuration
open class WebSocketSecurityConfig : WebSocketMessageBrokerConfigurer {
@Override
override fun addArgumentResolvers(argumentResolvers: List<HandlerMethodArgumentResolver>) {
argumentResolvers.add(AuthenticationPrincipalArgumentResolver())
}
@Override
override fun configureClientInboundChannel(registration: ChannelRegistration) {
var myAuthorizationRules: AuthorizationManager<Message<*>> = AuthenticatedAuthorizationManager.authenticated()
var authz: AuthorizationChannelInterceptor = AuthorizationChannelInterceptor(myAuthorizationRules)
var publisher: AuthorizationEventPublisher = SpringAuthorizationEventPublisher(this.context)
authz.setAuthorizationEventPublisher(publisher)
registration.interceptors(SecurityContextChannelInterceptor(), authz)
}
}<websocket-message-broker use-authorization-manager="true" same-origin-disabled="true">
<intercept-message pattern="/**" access="authenticated"/>
</websocket-message-broker>另一方面,如果您使用的是旧的AbstractSecurityWebSocketMessageBrokerConfigurer,并且您希望允许其他域访问您的站点,则可以禁用 Spring Security 的保护。例如,在 Java 配置中,您可以使用以下代码
-
Java
-
Kotlin
@Configuration
public class WebSocketSecurityConfig extends AbstractSecurityWebSocketMessageBrokerConfigurer {
...
@Override
protected boolean sameOriginDisabled() {
return true;
}
}@Configuration
open class WebSocketSecurityConfig : AbstractSecurityWebSocketMessageBrokerConfigurer() {
// ...
override fun sameOriginDisabled(): Boolean {
return true
}
}自定义表达式处理程序
有时,您可能需要自定义在intercept-message XML 元素中定义的access 表达式的处理方式。为此,您可以创建一个类型为SecurityExpressionHandler<MessageAuthorizationContext<?>>的类,并在您的 XML 定义中引用它,如下所示
<websocket-message-broker use-authorization-manager="true">
<expression-handler ref="myRef"/>
...
</websocket-message-broker>
<b:bean ref="myRef" class="org.springframework.security.messaging.access.expression.MessageAuthorizationContextSecurityExpressionHandler"/>如果您正在从实现SecurityExpressionHandler<Message<?>>的旧版websocket-message-broker迁移,您可以:1. 另外实现createEvaluationContext(Supplier, Message)方法,然后 2. 将该值包装在MessageAuthorizationContextSecurityExpressionHandler中,如下所示
<websocket-message-broker use-authorization-manager="true">
<expression-handler ref="myRef"/>
...
</websocket-message-broker>
<b:bean ref="myRef" class="org.springframework.security.messaging.access.expression.MessageAuthorizationContextSecurityExpressionHandler">
<b:constructor-arg>
<b:bean class="org.example.MyLegacyExpressionHandler"/>
</b:constructor-arg>
</b:bean>使用 SockJS
SockJS 提供回退传输以支持旧版浏览器。当使用回退选项时,我们需要放宽一些安全约束,以允许 SockJS 与 Spring Security 协同工作。
SockJS & frame-options
SockJS 可能使用 利用 iframe 的传输。默认情况下,Spring Security 拒绝 网站被框架以防止点击劫持攻击。为了允许 SockJS 基于框架的传输工作,我们需要配置 Spring Security 以允许相同来源框架内容。
您可以使用 frame-options 元素自定义 X-Frame-Options。例如,以下指令指示 Spring Security 使用 X-Frame-Options: SAMEORIGIN,这允许在同一域内使用 iframe
<http>
<!-- ... -->
<headers>
<frame-options
policy="SAMEORIGIN" />
</headers>
</http>类似地,您可以使用以下方法在 Java 配置中自定义框架选项以使用同一来源
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
// ...
.headers(headers -> headers
.frameOptions(frameOptions -> frameOptions
.sameOrigin()
)
);
return http.build();
}
}@Configuration
@EnableWebSecurity
open class WebSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
// ...
headers {
frameOptions {
sameOrigin = true
}
}
}
return http.build()
}
}SockJS & 放宽 CSRF
SockJS 在任何基于 HTTP 的传输的 CONNECT 消息上使用 POST。通常,我们需要在 HTTP 标头或 HTTP 参数中包含 CSRF 令牌。但是,SockJS 不允许这些选项。相反,我们必须将令牌包含在 Stomp 标头中,如 将 CSRF 添加到 Stomp 标头 中所述。
这也意味着我们需要放宽对 Web 层的 CSRF 保护。具体来说,我们希望禁用对连接 URL 的 CSRF 保护。我们不想禁用对每个 URL 的 CSRF 保护。否则,我们的网站容易受到 CSRF 攻击。
我们可以通过提供 CSRF RequestMatcher 来轻松实现这一点。我们的 Java 配置使这变得容易。例如,如果我们的 stomp 端点是 /chat,我们可以仅对以 /chat/ 开头的 URL 禁用 CSRF 保护,方法是使用以下配置
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.csrf(csrf -> csrf
// ignore our stomp endpoints since they are protected using Stomp headers
.ignoringRequestMatchers("/chat/**")
)
.headers(headers -> headers
// allow same origin to frame our site to support iframe SockJS
.frameOptions(frameOptions -> frameOptions
.sameOrigin()
)
)
.authorizeHttpRequests(authorize -> authorize
...
)
...
}
}@Configuration
@EnableWebSecurity
open class WebSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
csrf {
ignoringRequestMatchers("/chat/**")
}
headers {
frameOptions {
sameOrigin = true
}
}
authorizeRequests {
// ...
}
// ...
}
}
}如果我们使用基于 XML 的配置,我们可以使用 csrf@request-matcher-ref。
<http ...>
<csrf request-matcher-ref="csrfMatcher"/>
<headers>
<frame-options policy="SAMEORIGIN"/>
</headers>
...
</http>
<b:bean id="csrfMatcher"
class="AndRequestMatcher">
<b:constructor-arg value="#{T(org.springframework.security.web.csrf.CsrfFilter).DEFAULT_CSRF_MATCHER}"/>
<b:constructor-arg>
<b:bean class="org.springframework.security.web.util.matcher.NegatedRequestMatcher">
<b:bean class="org.springframework.security.web.util.matcher.AntPathRequestMatcher">
<b:constructor-arg value="/chat/**"/>
</b:bean>
</b:bean>
</b:constructor-arg>
</b:bean>传统 WebSocket 配置
在 Spring Security 5.8 之前,使用 Java 配置配置消息授权的方式是扩展 AbstractSecurityWebSocketMessageBrokerConfigurer 并配置 MessageSecurityMetadataSourceRegistry。例如
-
Java
-
Kotlin
@Configuration
public class WebSocketSecurityConfig
extends AbstractSecurityWebSocketMessageBrokerConfigurer { (1) (2)
protected void configureInbound(MessageSecurityMetadataSourceRegistry messages) {
messages
.simpDestMatchers("/user/**").authenticated() (3)
}
}@Configuration
open class WebSocketSecurityConfig : AbstractSecurityWebSocketMessageBrokerConfigurer() { (1) (2)
override fun configureInbound(messages: MessageSecurityMetadataSourceRegistry) {
messages.simpDestMatchers("/user/**").authenticated() (3)
}
}这将确保
| 1 | 任何传入的 CONNECT 消息都需要有效的 CSRF 令牌以强制执行 同源策略 |
| 2 | SecurityContextHolder 在 simpUser 标头属性中为任何传入请求填充用户。 |
| 3 | 我们的消息需要适当的授权。具体来说,任何以 "/user/" 开头的传入消息都需要 ROLE_USER。有关授权的更多详细信息,请参阅 WebSocket 授权 |
在您有自定义 SecurityExpressionHandler 扩展 AbstractSecurityExpressionHandler 并覆盖 createEvaluationContextInternal 或 createSecurityExpressionRoot 的情况下,使用传统配置很有帮助。为了延迟 Authorization 查找,新的 AuthorizationManager API 在评估表达式时不会调用这些方法。
如果您使用的是 XML,则可以通过不使用use-authorization-manager元素或将其设置为false来使用旧版 API。
