个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我已经为此工作了 3 周,但没有找到真正的解决方案,我真的希望你能帮助我。
一些项目背景:
具有基于 JavaScript/PHP 的客户端的 Web 应用程序通过 SocksJS 和 Stomp 向“门”发送消息
该门是用 Java/Spring 编写的,并使用 @SendTo 和 @MessageMapping 来发送和接收消息
来自gate的消息被发送到RabbitMQ并通过“messageBrokerRegistry.enableStompBrokerRelay”返回到客户端
到目前为止一切正常,发送的消息正在返回。
现在是高级安全部分:
据我所知,WebSockets 本身不支持安全性。您必须像具有基本身份验证或类似功能的“常见”网络应用程序一样保护您的网络应用程序。因此,我添加了一个 servlet 过滤器,其中包含一个扩展 GenericFilterBean 的类。如果用户发送了正确的 cookie,页面就会加载,否则他会收到 403 错误。
现在问题来了:
由于 @SendTo 向所有订阅者发送消息,而 @SendToUser 似乎仅将其发送到一个 session ,因此我倾向于使用 @SendToUser。但似乎没有办法选择要创建的rabbitMQ队列。我想要一些像“/myqueue-user-123”的内容。这对于 @SendToUser 来说是不可能的,因为生成的队列是随机的并且基于 SessionID,我无法覆盖它。
所以我尝试过(除了拦截器、事件等之外,我尝试了很多东西),使用不带值的@SendTo,以便客户端可以决定它必须发送到的队列。
我现在需要的是评估 cookie 中的用户是否与“/myqueue/user-123”相关。如果不是,请勿将消息发送给他。阻止他订阅。不管怎样,断开他的联系。
但在我看来你根本不可能- 停止发送消息,只是“拦截”记录它们而不改变- 断开 websocket,因为它会自动尝试重新连接- 抛出异常,因为订阅无论如何都会成功(事件只是事件,而不是干扰的东西)。
如果您有任何建议或提示,我将非常感激。因为我完全被困在这里......
最佳答案
我理解你的痛苦,我花了两天时间试图理解有关 WebSocket 的 spring 安全困惑。
Websocket 不正式支持一种身份验证方式,但是 spring-security 确实支持(或多或少)。
我建议您在 WebSocket 级别进行身份验证,而不是在 HTTP 级别进行身份验证,大多数 WebSocket(和 stomp)的 JavaScript 库不会随 HTTP 握手一起发送 header 。
您将找到有关如何在 WebSocket 级别进行身份验证的详细指南 here 。在上面的示例中,我使用 Websocket headers 值来验证我的客户端,您可以将您的 cookie 值放入这些 header 中,或者将 cookie 替换为 localstorage。
使用此方法,您将可以访问 Controller 中的 Principal,这应该可以解决 SendToUser 问题。
关于java - 确保基于 Spring 消息传递的 websocket 服务的安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45920979/
25
4
0
我有以下对象: dog = { location: { x: 52.1089, y: 16.2323 }, f: function(message) { alert
在 TSQL 中,如果我要搜索有效的 .com 电子邮件地址,我需要确保有一个 @ 符号,它以 .com 结尾,并且在 @ 前后至少有一个字符。 SELECT * FROM CUSTOMER WHER
我正在尝试准备一个信用卡交易列表,以便在 Excel 2010 中进行透视和进一步分析(满足个人需求)。问题是我的银行机构没有遵循标准的日期格式,所以有时日期会显示为 Jun. 1, 2013 , 有
看来您不能在 riak 中进行交易。如何确保数据正确? 假设我们要插入评论。在 redis 我会做 commentId=incr commentCount multi SET comment_post
对于下面给定的模式,是否可以确保至少一个属性包含一个值(即 minLength 为 1): { "$schema": "http://json-schema.org/draft-04/sche
我计划在 Haxe 的一个子集中编写 Haxe 库,这些库将编译为每种 Haxe 目标语言。有什么方法可以验证 Haxe 程序是否可以编译为所有目标语言,是否可以在不手动测试每个目标平台上的编译代码的
如果浏览器窗口未聚焦,则当前页面上的所有 webdriver 标识都失败。 如何使用 webdriver 使浏览器成为焦点? 最佳答案 ((JavascriptExecutor) webDriver)
我从这样的 HTML GET 请求中获取图像链接... www.example.com?image=www.anotherdomain.com/image.jpg if (isset($_GET['i
我有一个 eunit 测试,它生成一个唯一的节点名称并开始分发: {A,B,C} = now(), Nodename = list_to_atom(lists:flatten(io_lib:forma
我正在完成我的 iPhone 应用程序。我只是担心我们的网络服务器级别的安全性。数据通过网络服务被传送到 iPhone 应用程序。 我可以在网络服务上采取哪些安全措施,以免受到攻击? 谢谢 最佳答案
我正在编写一个应用程序,该应用程序启动一个运行简单 Web 服务器的子进程。我正在使用 NSTask 并通过管道与其进行通信,一切看起来或多或少都很好。但是,如果我的程序崩溃,子进程将保持事件状态,并
我有一些应用程序,我调用 ShowMessage('Complete!');在长时间操作结束时。 大多数时候,这效果很好,但每隔一段时间,消息对话框就会显示在主窗体后面。 有什么方法可以确保 Show
我通过将消息插入集合并让模板使用 {{#each}} 打印出集合来创建一个简单的聊天。 我不太熟悉安全性,但是有没有办法让它符合 EFF 规定? https://www.eff.org/secure-
我有一个商店,我想在其中正确管理 id。假设我有以下帖子存储: type Post = { id: number; title: string; body?: string; } type
我有一个使用 ajax post 方法和数据表的程序。经过几周的摆弄,我确定我根本不明白 javascript 是如何工作的。这是我的 JavaScript: $('#SaveTimeSheet').
我有一个系统,如果从 Azure 服务总线丢失消息将是一场灾难,也就是说,数据将永远丢失,并且没有实际方法可以在不造成重大中断的情况下修复损坏。 在这种情况下我可以完全依赖 ASB 吗? (即使它
如何确保 scalatest 测试不会并行运行?在 0.12 之前,我有一个 sbt 设置: parallelExecution in Test := false 新版本引入了一些复杂的机制。这种更简
我的端点有两个如下所示的 promise : request.post({ url: url, json: smsSTART, header
简短版本 当 ui-router 转换到新 View 时(以我不完全理解的方式使用 ngAnimate),它会添加类 ng-leave 和 ng-leave-active 到当前 View 。它还将类
目前正在努力寻找验证 2 个表的方法(有效地验证表 A 的大量行) 我有两张 table 表A ID A B C 表格匹配 ID Number A 1 A 2 A 9 B 1
我是一名优秀的程序员,十分优秀!