WebSocket与Shiro认证信息传递的实现与安全性探讨

在现代Web应用程序中,WebSocket已经成为实时双向通信的重要组件。而Shiro作为一个强大的Java安全框架,用于处理身份验证、授权和会话管理。本文将探讨如何通过WebSocket与Shiro集成,实现认证信息的传递,并关注在这一过程中确保安全性的关键考虑因素。

WebSocket与Shiro集成

步骤概述

  1. WebSocket连接建立: 客户端与服务器建立WebSocket连接时,可将Shiro的Session ID传递给服务器。

  2. Session ID传递: 在连接建立后,通过WebSocket消息机制将Shiro的Session ID发送到服务器。

  3. 服务器端处理: 服务器端接收WebSocket消息,解析其中的Session ID。

  4. Shiro Session获取: 使用解析到的Session ID,服务器端通过Shiro的SessionManager获取Shiro的Session对象。

  5. 认证信息提取: 从Shiro的Session对象中提取认证信息,如用户身份、角色、权限等。

  6. WebSocket消息回复: 将认证信息通过WebSocket消息发送回客户端,可能需要对信息进行序列化。

代码示例

package com.nbsaas.boot.websocket;import com.alibaba.fastjson2.JSON;
import com.alibaba.fastjson2.JSONObject;
import com.nbsaas.boot.rest.response.ResponseObject;
import com.nbsaas.boot.security.config.MySessionManager;
import com.nbsaas.boot.user.ext.domain.response.UserInfoExtResponse;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.DefaultSessionKey;
import org.apache.shiro.subject.SimplePrincipalCollection;
import org.apache.shiro.subject.support.DefaultSubjectContext;
import org.springframework.beans.BeanUtils;
import org.springframework.web.socket.CloseStatus;
import org.springframework.web.socket.TextMessage;
import org.springframework.web.socket.WebSocketSession;
import org.springframework.web.socket.handler.TextWebSocketHandler;import javax.annotation.Resource;
import java.util.ArrayList;
import java.util.Hashtable;
import java.util.List;
import java.util.Map;public class TalkSocketHandler extends TextWebSocketHandler {public List<WebSocketSession> sessions = new ArrayList<>();public Map<String, WebSocketSession> sessionMap = new Hashtable<>();@Resourceprivate MySessionManager mySessionManager;@Overrideprotected void handleTextMessage(WebSocketSession session, TextMessage message) throws Exception {// 处理来自客户端的消息String payload = message.getPayload();System.out.println(sessionMap.size());JSONObject obj=null;try {obj = JSON.parseObject(payload);}catch (Exception e){session.sendMessage(new TextMessage(JSON.toJSONString(ResponseObject.error(501, "无效数据格式"))));return;}String sessionId = obj.getString("sessionId");if (sessionId == null) {session.sendMessage(new TextMessage(JSON.toJSONString(ResponseObject.error(501, "没有会话id"))));return;}try {UserInfoExtResponse result = getUserInfoExtResponse(sessionId);System.out.println(result);} catch (Exception e) {e.printStackTrace();session.sendMessage(new TextMessage(JSON.toJSONString(ResponseObject.error(401, "会话失效"))));}// 这里可以编写处理消息的逻辑}private UserInfoExtResponse getUserInfoExtResponse(String sessionId) {Session temp = mySessionManager.getSession(new DefaultSessionKey(sessionId));Object user = temp.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);if (user == null) {return null;}if (user instanceof SimplePrincipalCollection) {SimplePrincipalCollection simplePrincipalCollection = (SimplePrincipalCollection) user;Object obj = simplePrincipalCollection.getPrimaryPrincipal();if (obj instanceof UserInfoExtResponse) {return (UserInfoExtResponse) obj;}UserInfoExtResponse result = new UserInfoExtResponse();BeanUtils.copyProperties(obj, result);return result;}return null;}@Overridepublic void afterConnectionEstablished(WebSocketSession session) throws Exception {// 当WebSocket连接建立时调用super.afterConnectionEstablished(session);// 添加新连接的WebSocketSession到集合中sessions.add(session);sessionMap.put(session.getId(), session);// 执行其他初始化操作...}@Overridepublic void afterConnectionClosed(WebSocketSession session, CloseStatus status) throws Exception {// 当WebSocket连接关闭时调用sessions.remove(session);sessionMap.remove(session.getId());}
}

前端websocket 传递这样的消息

{
"sessionId":"shiro会话id",
.... 其他内容
}

安全性探讨

  1. 安全风险

在WebSocket传递认证信息的过程中,可能面临以下安全风险:

中间人攻击: 未加密的通信可能受到中间人攻击的威胁,导致信息泄露或篡改。
信息泄露: 如果不谨慎处理认证信息的传递,可能会导致敏感信息泄露。
  1. 安全解决方案

为了应对这些安全风险,可以考虑以下解决方案:

  • 加密通信: 使用WebSocket Secure (WSS) 或其他加密通信机制,确保传递的信息在传输过程中得到保护。
  • 使用HTTPS: 将应用程序部署在HTTPS协议下,提供端到端的安全通信。
  • CSRF防护: 在WebSocket连接建立时,可以采用CSRF防护机制,确保请求的合法性。
  1. 用户隐私保护

在传递认证信息时,必须注意用户隐私的保护。这包括:

  • 最小化传递信息: 仅传递必要的认证信息,避免传递过多敏感数据。
  • 信息脱敏: 在传递信息前,对敏感信息进行适当的脱敏处理,以降低隐私泄露的风险。

结论

通过WebSocket与Shiro集成,实现认证信息的传递是一项复杂而关键的任务。在此过程中,确保通信的安全性和用户隐私的保护至关重要。通过加密通信、使用HTTPS和采用CSRF防护等方法,可以有效地应对潜在的安全风险,使得WebSocket与Shiro的集成更加可靠和安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/645821.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Redis(秒杀活动、持久化之RDB、AOF)

目录 秒杀活动 一、测压工具jmete的使用 二、java实现秒杀活动 1、myseckillcontroller 2、先启动pos请求添加商品&#xff0c;再启动jmeter进行压测 Redis持久化 一 、Redis持久化之RDB 1.RDB是什么 2. 备份是如何执行的 3.Fork 4. RDB持久化流程 5. dump.rdb文件 6…

自定义错误页面在Spring Boot中的实现

引言 在SpringBoot中&#xff0c;常用的异常处理有两种&#xff1a;一种是 BasicErrorController&#xff0c;另一种是 ControllerAdvice。BasicErrorController 用于处理非Controller抛出的异常&#xff0c;而ControllerAdvice 用于处理Controller抛出的异常&#xff0c;对于…

[足式机器人]Part3 机构运动学与动力学分析与建模 Ch00-5 刚体的加速度与角加速度

本文仅供学习使用,总结很多本现有讲述运动学或动力学书籍后的总结,从矢量的角度进行分析,方法比较传统,但更易理解,并且现有的看似抽象方法,两者本质上并无不同。 2024年底本人学位论文发表后方可摘抄 若有帮助请引用 本文参考: . 食用方法 求解逻辑:速度与加速度都是在…

安全基础~通用漏洞2

文章目录 知识补充盲注Boolean盲注延时盲注报错注入二次注入 知识补充 盲注常用 if(条件,5,0) #条件成立 返回5 反之 返回0 left(database(),1)&#xff0c;database() #left(a,b)从左侧截取a的前b位 盲注 盲注就是在注入过程中&#xff0c;获取的数据不能回显至前端页面。 …

图像分类】【深度学习】【轻量级网络】【Pytorch版本】EfficientNet_V2模型算法详解

【图像分类】【深度学习】【轻量级网络】【Pytorch版本】EfficientNet_V2模型算法详解 文章目录 【图像分类】【深度学习】【轻量级网络】【Pytorch版本】EfficientNet_V2模型算法详解前言EfficientNet_V2讲解自适应正则化的渐进学习(Progressive Learning with adaptive Regul…

计算机毕业设计 | SpringBoot+vue养老院管理系统 社区老人健康管理(附源码)

1&#xff0c;绪论 对于目前的中国来讲&#xff0c;人口老龄化日益严重&#xff0c;目前最新统计数据表明&#xff0c;60岁以上老人所占的人口比例已达到接近20%。这给我们国家带来了严重的养老压力&#xff0c;同时也严重削弱了我们人力大国的人力优势。对于这些老年人来讲&a…

行测-判断:4.逻辑判断

行测-判断&#xff1a;4.逻辑判断 1. 翻译推理&#xff08;命题&#xff0c;长句-> 短句&#xff09; 解题思维&#xff1a; 先翻译再推理 1.1 前 ➡ 后 典型关联词&#xff1a; 如果。。那么。。 注意Keywords&#xff1a; 只要&#xff0c;就&#xff0c;如果 逆否等价…

IaC基础设施即代码:使用Terraform 连接huaweicloud华为云 并创建后端OBS

目录 一、实验 1.环境 2.huaweicloud华为云创建用户 3.Windows使用Terraform 连接 huaweicloud 4.Windows给Terraform项目添加huaweicloud华为云OBS &#xff08;实现代码与资源分离&#xff09; 二、问题 1. Windows terraform 初始化失败 2.Terraform 初始化后端资源失…

Java面试题六

1、您对微服务有何了解&#xff1f; 微服务&#xff0c;又称微服务 架 构&#xff0c;是一种架构风格&#xff0c;它将应用程序构建为以业务领域为模型的小型自治服务集合 。 通俗地说&#xff0c;你必须看到蜜蜂如何通过对齐六角形蜡细胞来构建它们的蜂窝状物。他们最初从使用…

Django、Flask 与 Javascirpt 之间传值与数据转换

常见问题&#xff1a;JavaScript 如何处理Django、Flask传递的数据库数据 Django 、Flask从数据库读出的数据通常保存为&#xff1a;对象列表、字典列表&#xff0c;或 tuple列表形式 # 用object_list 对象列表表示数据库记录 [<Article: id1,title星际穿越影评,body作为一…

经典的语义分割(semantic segmentation)网络模型

重要说明&#xff1a;本文从网上资料整理而来&#xff0c;仅记录博主学习相关知识点的过程&#xff0c;侵删。 一、参考资料 Image segmentation 二、语义分割相关介绍 1. 基础的语义分割架构 project_summary Convolutional encoder-decoder architecture of popular Seg…

嵌入式linux学习之实践操作

# 前沿 ##1. 安装交叉编译器 * 在 开发板光盘 A- 基础资料 ->5 、开发工具 ->1 、交叉编译器 路径下找到 st-example-image-qt wayland-openstlinux-weston-stm32mp1-x86_64-toolchain-3.1-snapshot.sh 。将它拷贝到 Ubuntu 虚拟机上。 拷贝到 Ubuntu 后&#xff0…

oracle19.22的patch已发布

2024年01月16日,oracle发布了19.22的patch 具体patch如下 Reserved for Database - Do not edit or delete (Doc ID 19202401.9) 文档ID规则如下 19(版本)+年份(202x)+(季度首月01,04,07,10).9 往期patch no信息和下载参考文档 oracle 19C Release Update patch num…

【Leetcode】2865. 美丽塔 I

文章目录 题目思路代码结果 题目 题目链接 给你一个长度为 n 下标从 0 开始的整数数组 maxHeights 。 你的任务是在坐标轴上建 n 座塔。第 i 座塔的下标为 i &#xff0c;高度为 heights[i] 。 如果以下条件满足&#xff0c;我们称这些塔是 美丽 的&#xff1a; 1 < hei…

Python学习笔记--内置模块functools中的lru_cache()函数

在编写一些应用中&#xff0c;我们的一些函数常常需要做一些耗时较长的操作&#xff0c;比如调用第三方API,进行复杂的运算等。尤其是处理数据的一些应用&#xff0c;需要重复计算&#xff0c;或者从外部获取数据&#xff0c;可以使用内置模块functools中的lru_cache()函数把计…

【Web前端实操11】定位实操_照片墙(无序摆放)

设置一个板块&#xff0c;将照片随意无序摆放在墙上&#xff0c;从而形成照片墙。本来效果应该是很唯美好看的&#xff0c;就像这种&#xff0c;但是奈何本人手太笨&#xff0c;只好设置能达到照片墙的效果就可。 代码如下&#xff1a; <!DOCTYPE html> <html lang&…

uniapp+vue3+ts--编写微信小程序对接e签宝签署时跳转刷脸效果(人脸识别)中间页代码

uniappvue3ts–编写微信小程序对接e签宝签署时跳转刷脸效果&#xff08;人脸识别&#xff09;中间页代码 e签宝内嵌H5方式集成签署页的文档说明&#xff1a;https://open.esign.cn/doc/opendoc/case3/ahb0sg 签署时跳转刷脸效果示意图&#xff1a; 1. 在文件夹新建一个文件&a…

JavaScript实现的一些小案例

小案例 灯开关案例 <body><img id"light" src"img/off.jpg"><script>var light document.getElementById("light");var flag false;if(flag){light.src "img/on.jpg";flag false;}else{light.src "img/…

配网行波型故障预警定位装置:电力系统的安全守护神

随着科技的不断发展&#xff0c;电力系统的运行和管理已经越来越依赖于先进的技术手段。在这个领域中&#xff0c;配网行波型故障预警定位装置(也被称为智能电网监测设备)已经成为了一种重要的技术装备。它能够实时监测电力系统的运行状态&#xff0c;及时发现并预警故障&#…

服务器和云桥通SDWAN组网的区别

一、服务器的概念 服务器是一种计算设备&#xff0c;用于存储、处理和提供数据和应用服务。通常&#xff0c;服务器配备高性能处理器、大容量存储器和网络接口&#xff0c;其主要目的是提供计算资源、存储资源以及应用程序的托管。这种设备可以用于托管网站、应用程序、数据库和…