Spring Boot，Websockets无法从Session获取用户（即java.security.Principal）

2024-05-19

与...一起工作Spring Boot 1.2.1.RELEASE and Spring Websockets。运行嵌入式时存在部署运行时问题Jetty 9，我不能伪造用户（java.security.Principal）当应用程序部署在本地主机以外的其他地方时成功。

我咨询过

http://docs.spring.io/spring/docs/current/spring-framework-reference/html/websocket.html#websocket-stomp-authentication http://docs.spring.io/spring/docs/current/spring-framework-reference/html/websocket.html#websocket-stomp-authentication
http://docs.spring.io/spring/docs/current/spring-framework-reference/html/websocket.html#websocket-server-runtime-configuration http://docs.spring.io/spring/docs/current/spring-framework-reference/html/websocket.html#websocket-server-runtime-configuration

下面的配置（我相信）已经“升级”了请求

@Configuration
@EnableWebSocketMessageBroker
@EnableScheduling
public class WebSocketConfig extends AbstractWebSocketMessageBrokerConfigurer {

@Override
public void configureMessageBroker(MessageBrokerRegistry registry) {
    // see http://docs.spring.io/spring/docs/current/spring-framework-reference/html/websocket.html#websocket-stomp-handle-broker-relay
    // requires an external broker like AMQP or RabbitMQ
    //registry.enableStompBrokerRelay("/queue/", "/topic/");

    // XXX This might wind up being the impl we actually deploy; but be aware it has certain constraints
    // see http://docs.spring.io/spring/docs/current/spring-framework-reference/html/websocket.html#websocket-stomp-message-flow
    registry.enableSimpleBroker("/queue/", "/topic/");
    registry.setApplicationDestinationPrefixes("/app");
}

@Override
public void registerStompEndpoints(StompEndpointRegistry registry) {
    registry.addEndpoint("/cards").setHandshakeHandler(new UserHandler()).withSockJS();
}

// cheat; ensure that we have a Principal w/o relying on authentication
class UserHandler extends DefaultHandshakeHandler {

    @Override
    protected Principal determineUser(ServerHttpRequest request, WebSocketHandler wsHandler,
                    Map<String, Object> attributes) {
        return new TestPrincipal("bogus");
    }
}

这是校长...

public class TestPrincipal  implements Principal {

private final String name;


public TestPrincipal(String name) {
    this.name = name;
}

@Override
public String getName() {
    return this.name;
}

}

但这是我收到的例外......

Logger=org.springframework.messaging.simp.annotation.support.SimpAnnotationMethodMessageHandler Type=ERROR Message=Unhandled exception
org.springframework.messaging.simp.annotation.support.MissingSessionUserException: No "user" header in message
at org.springframework.messaging.simp.annotation.support.PrincipalMethodArgumentResolver.resolveArgument(PrincipalMethodArgumentResolver.java:42) ~[spring-messaging-4.1.4.RELEASE.jar!/:4.1.4.RELEASE]
at org.springframework.messaging.handler.invocation.HandlerMethodArgumentResolverComposite.resolveArgument(HandlerMethodArgumentResolverComposite.java:77) ~[spring-messaging-4.1.4.RELEASE.jar!/:4.1.4.RELEASE]
at org.springframework.messaging.handler.invocation.InvocableHandlerMethod.getMethodArgumentValues(InvocableHandlerMethod.java:127) ~[spring-messaging-4.1.4.RELEASE.jar!/:4.1.4.RELEASE]
at org.springframework.messaging.handler.invocation.InvocableHandlerMethod.invoke(InvocableHandlerMethod.java:100) ~[spring-messaging-4.1.4.RELEASE.jar!/:4.1.4.RELEASE]
at org.springframework.messaging.handler.invocation.AbstractMethodMessageHandler.handleMatch(AbstractMethodMessageHandler.java:451) [spring-messaging-4.1.4.RELEASE.jar!/:4.1.4.RELEASE]
at org.springframework.messaging.simp.annotation.support.SimpAnnotationMethodMessageHandler.handleMatch(SimpAnnotationMethodMessageHandler.java:443) [spring-messaging-4.1.4.RELEASE.jar!/:4.1.4.RELEASE]
at org.springframework.messaging.simp.annotation.support.SimpAnnotationMethodMessageHandler.handleMatch(SimpAnnotationMethodMessageHandler.java:82) [spring-messaging-4.1.4.RELEASE.jar!/:4.1.4.RELEASE]
at org.springframework.messaging.handler.invocation.AbstractMethodMessageHandler.handleMessageInternal(AbstractMethodMessageHandler.java:412) [spring-messaging-4.1.4.RELEASE.jar!/:4.1.4.RELEASE]
at org.springframework.messaging.handler.invocation.AbstractMethodMessageHandler.handleMessage(AbstractMethodMessageHandler.java:350) [spring-messaging-4.1.4.RELEASE.jar!/:4.1.4.RELEASE]
at org.springframework.messaging.support.ExecutorSubscribableChannel$SendTask.run(ExecutorSubscribableChannel.java:135) [spring-messaging-4.1.4.RELEASE.jar!/:4.1.4.RELEASE]
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142) [na:1.8.0_05]
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617) [na:1.8.0_05]
at java.lang.Thread.run(Thread.java:745) [na:1.8.0_05]

这里我还应该考虑什么？

UPDATE

我现在可以在本地主机部署中可靠地重现这一点。

有趣的是，使用STS 3.6.3在调试模式下，当我在第 91 行设置断点时JettyRequestUpgradeStrategy

public JettyRequestUpgradeStrategy(WebSocketServerFactory factory) {
    Assert.notNull(factory, "WebSocketServerFactory must not be null");
    this.factory = factory;
    this.factory.setCreator(new WebSocketCreator() {
        @Override
        public Object createWebSocket(ServletUpgradeRequest request, ServletUpgradeResponse response) {
            // Cast to avoid infinite recursion
            return createWebSocket((UpgradeRequest) request, (UpgradeResponse) response);
        }

然后继续到第 41 行设置的另一个断点PrincipalMethodArgumentResolver

@Override
public Object resolveArgument(MethodParameter parameter, Message<?> message) throws Exception {
    Principal user = SimpMessageHeaderAccessor.getUser(message.getHeaders());
    if (user == null) {
        throw new MissingSessionUserException(message);
    }
    return user;
}

the user is null。是否存在竞争条件？例如，套接字必须从请求中获取用户是否有一定的时间限制？

None

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

Session

springboot

springwebsocket

Spring Boot，Websockets无法从Session获取用户（即java.security.Principal）的相关文章

在内存中使用 byte[] 创建 zip 文件。 Zip 文件总是损坏

我创建的 zip 文件有问题我正在使用 Java 7 我尝试从字节数组创建一个 zip 文件其中包含两个或多个 Excel 文件应用程序始终完成没有任何异常所以我以为一切都好当我尝试打开 zip 文件后 Windows 7 出
如何循环遍历所有组合，例如48 选择 5 [重复]

这个问题在这里已经有答案了可能的重复如何在java中从大小为n的集合中迭代生成k个元素子集 https stackoverflow com questions 4504974 how to iteratively generate k
为什么 JTables 使 TableModel 在呈现时不可序列化？

所以最近我正在开发一个工具供我们配置某些应用程序它不需要是什么真正令人敬畏的东西只是一个具有一些 SQL 脚本生成功能并创建几个 XML 文件的基本工具在此期间我使用自己的 AbstractTableModel 实现创建了一系列
使用 LinkedList 实现下一个和上一个按钮

这可能是一个愚蠢的问题但我很难思考清楚我编写了一个使用 LinkedList 来移动加载的 MIDI 乐器的方法我想制作一个下一个和一个上一个按钮以便每次单击该按钮时都会遍历 LinkedList 如果我硬编码itr next or
Spring AspectJ 在双代理接口时失败：无法生成类的 CGLIB 子类

我正在使用Spring的
如何在 Spring 中禁用使用 @Component 注释创建 bean？

我的项目中有一些用于重构逻辑的通用接口它看起来大约是这样的 public interface RefactorAwareEntryPoint default boolean doRefactor if EventLogService wa
谷歌应用程序引擎会话

什么是java应用程序引擎默认会话超时如果我们将会话超时设置为非常非常长的时间会不会产生不良影响因为谷歌应用程序引擎会话默认情况下仅存储在数据存储中就像facebook一样每次访问该页面时会话仍然永远存在默认会话超时设置为
在接口中使用默认方法是否违反接口隔离原则？

我正在学习 SOLID 原则 ISP 指出客户端不应被迫依赖于他们所使用的接口不使用在接口中使用默认方法是否违反了这个原则我见过类似的问题但我在这里发布了一个示例以便更清楚地了解我的示例是否违反了 ISP 假设我有这个例子 pu
在 junit 测试中获取 javax.lang.model.element.Element 类

我想测试我的实用程序类 ElementUtils 但我不知道如何将类作为元素获取在 AnnotationProcessors 中我使用以下代码获取元素 Set
Hibernate 的 PersistentSet 不使用 hashCode/equals 的自定义实现

所以我有一本实体书 public class Book private String id private String name private String description private Image coverImage pr
像 Java 这样的静态类型语言中动态方法解析背后的原因是什么

我对 Java 中引用变量的动态静态类型和动态方法解析的概念有点困惑考虑 public class Types Override public boolean equals Object obj System out println i
tomcat 中受密码保护的应用程序

我正在使用 JSP Servlet 开发一个Web应用程序并且我使用了Tomcat 7 0 33 as a web container 所以我的要求是tomcat中的每个应用程序都会password像受保护的manager applica
logcat 中 mSecurityInputMethodService 为 null

我写了一点android应显示智能手机当前位置最后已知位置的应用程序尽管我复制了示例代码并尝试了其他几种解决方案但似乎每次都有相同的错误我的应用程序由一个按钮组成按下按钮应该log经度和纬度但仅对数 mSecurityInp
获取文件的总大小（以字节为单位）[重复]

这个问题在这里已经有答案了可能的重复 java 高效获取文件大小 https stackoverflow com questions 116574 java get file size efficiently 我有一个名为 filenam
为什么 Java 8 不允许非公共默认方法？

让我们举个例子 public interface Testerface default public String example return Hello public class Tester implements Testerface
java for windows 中的文件图标叠加

我正在尝试像 Tortoise SVN 或 Dropbox 一样在文件和文件夹上实现图标叠加我在网上查了很多资料但没有找到Java的解决方案 Can anyone help me with this 很抱歉确认您的担忧但这无法在 Ja
使用 AsyncTask 传递值

我一直在努力解决这个问题但我已经到了不知道该怎么办的地步我想做的是使用一个类下载文件并将其解析为字符串然后将该字符串发送到另一个类来解析 JSON 内容所有部件都可以单独工作并且我已经单独测试了所有部件我只是不知道如何将值发送到
java.io.Serialized 在 C/C++ 中的等价物是什么？

C C 的等价物是什么java io Serialized https docs oracle com javase 7 docs api java io Serializable html 有对序列化库的引用用 C 序列化数据结构 ht
ini_set 'session.gc_maxlifetime' 为 1 天

If I do ini set session gc maxlifetime 86400 这是否意味着用户可以将浏览器留在同一页面非活动状态最多 1 天而不必担心会话被垃圾收集并被注销如果服务器配置不支持此功能会发生什么它会给我一
Java中super关键字的范围和使用

为什么无法使用 super 关键字访问父类变量使用以下代码输出为 feline cougar c c class Feline public String type f public Feline System out print fe

随机推荐

如何从 JavaScript 中的字符串中删除空白字符？

如何从 JavaScript 中的字符串中删除空白字符修剪很容易但我不知道如何将它们从inside字符串例如 222 334 gt 222334 您可以使用正则表达式如下所示来替换所有空格 var oldString 222 334
如何将安卓手机从睡眠状态唤醒？

如何以编程方式将 Android 手机从睡眠状态唤醒挂起至内存我不想获取任何唤醒锁这意味着手机在禁用 CPU 的情况下进入真正的睡眠状态我想我可以使用某种RTC 实时时钟机制有人有例子吗 Thanks 为了让Activity
为什么将函数参数声明为最终的？

我目前正在阅读 Sams 出版的 24 小时自学 Android 应用程序开发一书我对 Java Android 或其他方面还比较陌生我对 ActionScript 3 有非常扎实的背景它与 Java 有足够的相似之处因此该语言本
Seaborn 将 xticks 从 float 更改为 int

我正在绘制一个图表其中seaborn为sns pylab为plt plt figure figsize 10 10 sns barplot y whatever y x whatever x data mydata plt xticks
管道：多个流消费者

我编写了一个程序来计算语料库中 NGram 的频率我已经有一个函数它消耗一串令牌并生成一个订单的 NGram ngram Monad m gt Int gt Conduit t m t trigrams ngram 3 countFre
java ee - 使用 servlet 对用户进行身份验证

我刚刚开始学习java 还没有接触过java ee 我需要使用 servlet 来验证用户身份请提供示例代码和技术文献谢谢你创建一个接受用户名密码的 html 表单将这些数据发布到 servlet 在 doPost 中读取这些数据
我希望 jQuery 验证器向表单元素的父级添加一个类

我该如何使用jQuery 验证器 http docs jquery com Plugins Validation添加删除类名例如validate 在表单元素的父元素上 li 这样我就可以通过仅设置一个类名来设置与该元素相关的所有内容的样
从 search.push 函数中的 DataTables 获取“数据排序”正交值

我正在循环其中的行 fn dataTable ext search push函数根据许多条件选择一些行我正在设置一些值TD的表称为正交 https datatables net manual data orthogonal data数据
为什么 Slack 会导致 Windows 10 BSOD？

每次我从睡眠状态恢复笔记本电脑时我都会遇到 BSOD 我已经使用分析了小型转储WinDbg并且引起的过程总是Slack exe 我用谷歌搜索了一下我发现了https www tenforums com bsod crashes debug
使用 Java 进行树可视化 [关闭]

Closed 此问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案我正在寻找一个库来生成图形或树例如组织图表该库应该能够从该图中生成纯图像有谁知道一个好的希望开源
检查字符串是否是哈希值

我正在使用 SHA 512 来散列我的密码当然还有盐我认为我想要的不可能但无论如何我们还是要问一下有没有办法检查字符串是否已经是 SHA 512 或其他算法哈希值当用户登录时我想检查他的密码如果它仍然是纯文本则应将其转换为
Jquery UI 可调整大小的问题超出了遏制范围（也使用了可拖动）

我面临的问题是 div 的可调整大小当我将它与 Draggable 一起使用时它会出现问题并且无法调整其宽度方向的大小如果我单独使用可调整大小那就没问题了但我需要让它与可拖动功能一起使用请建议单击演示的 jsFiddle 链接
在 Google 表格脚本中设置活动单元格的值

我想创建一个公式在某个单元格更改上创建时间戳下面的代码就可以了我现在想做的是将公式转换为纯文本将该时间戳锚定到工作表上如果您手动执行此操作您将选择时间戳复制它们并将它们粘贴为值我不想手动执行此操作因此我创建了下面的脚本它
使用 XProc 进行 XML 流处理

我正在玩xproc http www w3 org TR xproc XML 管道语言和http xmlcalabash com http xmlcalabash com 我想找到一个流式传输大型 xml 文档的示例例如给定以下内容hu
Cakedc.users => 总是重定向到主页

我在新的 Cakephp 安装上使用插件 CakeDC Users 我有两个控制器 PagesController php CardsController php Pages 有 1 个操作 Beta 它是主页 Cards 有两个操作索引
使用 jQuery 选择具有数据属性的元素为其父元素分配一个 null ID

这确实很奇怪如果我使用 jQuery find 在滚动事件期间查找具有数据属性的子元素然后滚动页面将重复添加和删除 IDparents这些元素这很难描述但这里有一个可重现的测试用例 http jsfiddle net 8fouvx9
OpenCPU 中长时间运行作业的任务模型？

据我所知 OpenCPU中没有任务模型即必须在打开的 TCP 连接上等待任意长时间直到请求完成任务模型实现的一种可能性是返回带有状态的专用任务 uri200 OK立即为POST当一个人希望运行一个函数时发出请求优点是当作业在后台服
如何在 cv2.VideoWriter 中使用 FPS 参数？

好的所以我正在制作视频我想确切地知道如何使用 FPS 参数它是一个浮点数所以我假设这是我想要的每帧之间的间隔你能给个例子吗我只想知道视频会如何随着 FPS 参数值的变化而变化因为我制作的视频现在太快了谢谢确实只是这样 fr
自定义类的重写 bool() [重复]

这个问题在这里已经有答案了我想要的只是 bool myInstance 返回 False 并且 myInstance 在 if or and 等条件下计算为 False 我知道如何覆盖 gt 我试过这个 class test def bo
Spring Boot，Websockets无法从Session获取用户（即java.security.Principal）

与一起工作Spring Boot 1 2 1 RELEASE and Spring Websockets 运行嵌入式时存在部署运行时问题Jetty 9 我不能伪造用户 java security Principal 当应用程序部署在本地主

Spring Boot，Websockets无法从Session获取用户（即java.security.Principal）

Spring Boot，Websockets无法从Session获取用户（即java.security.Principal） 的相关文章

随机推荐

热门标签

Spring Boot，Websockets无法从Session获取用户（即java.security.Principal）的相关文章