基于 Spring STOMP 令牌的安全性

Question

我想为 Web 套接字连接实现基于令牌的身份验证。

我的后端系统是server，机器是client，机器和服务器之间收发消息时如何实现认证，这里不做用户认证。

@Configuration
@EnableWebSocketMessageBroker
public class MyConfig extends AbstractWebSocketMessageBrokerConfigurer {

  @Override
  public void configureClientInboundChannel(ChannelRegistration registration) {
    registration.setInterceptors(new ChannelInterceptorAdapter() {

        @Override
        public Message<?> preSend(Message<?> message, MessageChannel channel) {

            StompHeaderAccessor accessor =
                MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class);

            if (StompCommand.CONNECT.equals(accessor.getCommand())) {
                String authToken = accessor.getFirstNativeHeader("X-Auth-Token");
                log.debug("webSocket token is {}", authToken);
                Principal user = ... ; // access authentication header(s)
                accessor.setUser(user);
            }

            return message;
        }
    });
  }
}

但是，我完全失去了在“主要用户 = ... ;”中的表现。我将如何使用令牌获得 Principle？因为这里没有用户，只有机器和后端服务器之间的通信

Answer 1

猜你可以尝试从 spring 安全上下文中获取委托人

SecurityContextHolder.getContext().getAuthentication().getPrincipal();

Answer 2

听起来您可能需要一个类似于构建物联网解决方案的人所使用的解决方案。一个很好的起点是看看 OpenID Connect。

这里有一篇很好的文章讨论了相关的挑战和解决方案： https://www.gluu.org/blog/oauth2-for-iot/

OpenId Connect 的站点： http://openid.net/connect/

Answer 3

我知道这个问题已经存在很长时间了，并且 Stack Overflow 上已经有很多答案可用，例如 this 和 this。这些答案确实解决了这个问题，但所有人都在尝试拥有自己的 Principle 接口实现，因为 Spring Security 已经实现了我们需要的一切。

回答你的问题：原理需要从请求中提供的token创建。您可以使用new BearerTokenAuthenticationToken("token-string-without-bearer") 轻松地将字符串令牌转换为Principle，然后使用authenticationManager.authenticate(bearerTokenAuthenticationToken) 对令牌进行身份验证。因此，代码是这样的：

// access authentication header(s)
Principal user = authenticationManager.authenticate(new BearerTokenAuthenticationToken(authToken)); 

configureClientInboundChannel 方法的完整实现应该是（抱歉我只有 Kotlin 代码，但你应该能明白）：

    override fun configureClientInboundChannel(registration: ChannelRegistration) {
        registration.interceptors(object : ChannelInterceptor {
            override fun preSend(message: Message<*>, channel: MessageChannel): Message<*>? {
                val accessor = MessageHeaderAccessor
                        .getAccessor(message, StompHeaderAccessor::class.java)

                if (accessor != null && accessor.command == StompCommand.CONNECT) {
                    // assume the value of Authorization header has Bearer at the beginning
                    val authorization = accessor.getFirstNativeHeader("Authorization")
                            ?.split(" ", limit = 2)
                            ?: return message

                    // check token type is Bearer
                    if (authorization.getOrNull(0) == "Bearer") {

                        val token = authorization.getOrNull(1)?.takeIf { it.isNotBlank() }
                        // if token exists, authenticate and (if succeeded) then assign user to the session
                        if (token != null) {
                            val user = try {
                                authenticationManager.authenticate(BearerTokenAuthenticationToken(token))
                            } catch (ex: AuthenticationException) {
                                // if throw an exception, do not touch the user header
                                null
                            }
                            if (user != null) {
                                accessor.user = user
                            }
                        }
                    }
                }
                return message
            }
        })
    }

注意BearerTokenAuthenticationToken来自org.springframework.boot:spring-boot-starter-oauth2-resource-server，所以你需要这个依赖才能使用它。

authenticationManager 来自WebSecurityConfigurerAdapter 的实现，通过覆盖authenticationManagerBean 方法并将其标记为@Bean，然后将Bean 注入到您的AbstractWebSocketMessageBrokerConfigurer 实现中，在这种情况下，是MyConfig。

另外，不要忘记用@Order(Ordered.HIGHEST_PRECEDENCE + 99) 标记MyConfig 类，以便它在Spring Security 接管之前设置用户标头。