16

私はSpring 4 websockets と stompを使って実験を行っています@MessageMapping.

ドキュメントには、メッセージ処理メソッドがプリンシパルを引数として取ることができると書かれており、Spring がgetUserPrincipal()ネイティブ ソケット セッションを呼び出してプリンシパルを取得し、ソケット セッションに関連付けることがわかりましたが、その方法は見つかりませんでした。サーブレット フィルターを記述し、元の要求をラッパーにラップして、Cookie で見つかったプリンシパルを返す以外に、この動作を簡単にカスタマイズできます。

だから私の質問は:

  1. クライアントが接続するときに、プリンシパルをソケット セッションに手動で設定する方法 (カスタム cookie のおかげでこの情報があり、Spring セキュリティを使用していません)。
  2. 1 が不可能な場合、クライアントの接続時にソケット セッションに追加の属性を追加する方法は?
  3. メッセージ処理メソッドからソケット セッションとその属性にアクセスする方法は?
  4. 接続時にブラウザから送信されたログインとパスコードにアクセスする方法はありますか。それらはSpringによって完全に無視され、アクセスできないようです。
4

2 に答える 2

7

更新: Spring 4.1 では、上記の #1 のハンドシェイクでユーザーを設定することができます。Spring のドキュメントに従って、 DefaultHandshakeHandlerを拡張し、determineUser メソッドをオーバーライドする新しいクラスを作成できます。さらに、トークンがある場合は、プリンシパルも設定するセキュリティ フィルターを作成することもできます。2 番目のものは自分で実装しました。両方のサンプル コードを以下に示します。

#2 と #3 については、まだ可能ではないと思います。#4 の場合、Springはドキュメント hereに従ってこれらを意図的に無視します。

DefaultHandshakeHandler サブクラスのサンプル コード:

@Configuration
@EnableWebSocketMessageBroker
public class ApplicationWebSocketConfiguration extends AbstractWebSocketMessageBrokerConfigurer {

    public class MyHandshakeHandler extends DefaultHandshakeHandler {

        @Override
        protected Principal determineUser(ServerHttpRequest request, WebSocketHandler wsHandler, 
                                          Map<String, Object> attributes) {
            // add your own code to determine the user
            return null;
        }
    }

    @Override
    public void registerStompEndpoints(StompEndpointRegistry registry) {

        registry.addEndpoint("/myEndPoint").setHandshakeHandler(new MyHandshakeHandler());

    }
}

セキュリティ フィルタのサンプル コード:

public class ApplicationSecurityTokenFilter extends GenericFilterBean {

    private final static String AUTHENTICATION_PARAMETER = "authentication";

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        if (servletRequest instanceof HttpServletRequest) {
            // check to see if already authenticated before trying again
            Authentication existingAuth = SecurityContextHolder.getContext().getAuthentication();
            if ((existingAuth == null) || !existingAuth.isAuthenticated()) {
                HttpServletRequest request = (HttpServletRequest)servletRequest;
                UsernamePasswordAuthenticationToken token = extractToken(request);
                // dump token into security context (for authentication-provider to pick up)
                if (token != null) {  // if it exists
                    SecurityContextHolder.getContext().setAuthentication(token);
                }
            }
        }
        filterChain.doFilter(servletRequest,servletResponse);
    }

    private UsernamePasswordAuthenticationToken extractToken( HttpServletRequest request ) {
        UsernamePasswordAuthenticationToken authenticationToken = null;
        // do what you need to extract the information for a token
        // in this example we assume a query string that has an authenticate
        // parameter with a "user:password" string.  A new UsernamePasswordAuthenticationToken
        // is created and then normal authentication happens using this info.
        // This is just a sample and I am sure there are more secure ways to do this.
        if (request.getQueryString() != null) {
            String[] pairs = request.getQueryString().split("&");
            for (String pair : pairs) {
                String[] pairTokens = pair.split("=");
                if (pairTokens.length == 2) {
                    if (AUTHENTICATION_PARAMETER.equals(pairTokens[0])) {
                        String[] tokens = pairTokens[1].split(":");
                        if (tokens.length == 2) {
                            log.debug("Using credentials: " + pairTokens[1]);
                            authenticationToken = new UsernamePasswordAuthenticationToken(tokens[0], tokens[1]);
                        }
                    }
                }
            }
        }
        return authenticationToken;
    }
}

// set up your web security for the area in question
@Configuration
public class SubscriptionWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {

    protected void configure(HttpSecurity http) throws Exception {
        http
                .requestMatchers().antMatchers("/myEndPoint**","/myEndPoint/**").and()
                .addFilterBefore(new ApplicationSecurityTokenFilter(), UsernamePasswordAuthenticationFilter.class)
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .httpBasic()  // leave this if you want non web browser clients to connect and add an auth header
                .and()
                .csrf().disable();
    }
}

**注: ** フィルターを Bean として宣言しないでください。そうすれば、一般的なフィルターでも(少なくともSpring Bootを使用して)ピックアップされるため、すべてのリクエストで起動します。

于 2015-07-20T13:51:37.973 に答える
4

これは当分の間 (Spring 4.0) 不可能です。Spring でイシューがオープン (および検討) されました: https://jira.springsource.org/browse/SPR-11228

于 2014-01-15T15:57:31.437 に答える