Spring Session、Websocket、REST 令牌安全

【问题标题】:Spring Session, Websocket, REST Token SecuritySpring Session、Websocket、REST 令牌安全
【发布时间】:2015-05-24 06:55:28
【问题描述】:

我们目前有一个 Spring 应用程序,其中包含一个 REST API 和 Websocket 代理端点,以获取数据库更改的实时更新。

我们已经成功迁移到带有嵌入式 redis 服务器的 Spring Session 项目,该服务器通过基本身份验证进行身份验证,并且会话 ID 可以在后续请求中用作 x-auth-token 标头。

我们遇到的问题是保护 Websocket。在 Angular 上,我们有一个围绕 stomp.js / sockjs 库的包装器指令,但我们似乎无法弄清楚如何在 Websocket 升级请求上设置 x-auth-token 标头。

我们做错了吗?处理这种安全方案的推荐方法是什么?

堆栈:

  • Tomcat 7.0.57
  • Spring Security 4.0.0.RC2
  • 春季课程 1.0.0.RELEASE
  • Spring MVC 4.1.4
  • AngularJS 1.2.28

【问题讨论】:

    标签: java angularjs spring-security sockjs spring-session


    【解决方案1】:

    看起来 JS Websocket API 不允许在初始握手和升级请求中设置 HTTP 标头。

    正确的方案是在 CONNECT 帧上发送一个身份验证令牌,并在服务器端进行相应的处理。所以现在我们已经迁移到浏览器 cookie 会话,直到我们可以在服务器端找到合适的实现。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2021-05-02
      • 2018-11-22
      • 2019-02-05
      • 2015-05-06
      • 2018-02-08
      • 2021-01-26
      • 2014-12-11
      • 2017-11-03
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode