Spring Security "Token-basierte Authentifizierung" für SockJS/STOMP-Web-Socket

Question

Ich versuche Token-basierte Authentifizierung zu implementieren, nach https://github.com/spring-projects/spring-framework/blob/master/src/docs/asciidoc/web/web-websocket.adoc#token-based-authentication.

Ich benutze Basic Auth für meine HTTP-Anfrage, so dass Spring ein x-auth-Token nach einer erfolgreichen Authentifizierung zurückgibt. Ich füge dieses Token dem Befehl STOMP CONNECT hinzu.

Allerdings bin ich völlig verloren, wie ich bei "Hauptbenutzer = ...;" tun würde. Wie würde ich Prinzip mit dem Token bekommen? Könnte jemand etwas Licht werfen?

Answer 1

OPTION A

Wenn Ihr Websocket CONNECT Endpoint ist Frühling gesichert ist, sollten Sie in der Lage sein, den Principal (aka Benutzer) zu bekommen, von Authentication auth = SecurityContextHolder.getContext().getAuthentication(); aufrufen. Von dort würden Sie auth.getPrincipal()

OPTION B

nennen personnaly Ich benutze JWT als mein Token basierte Auth-System. Ich habe eine benutzerdefinierte JWTService, in dem ich eine Methode, den Benutzer aus dem Token

public Authentication getAuthenticationFromToken(String token) { 
    if (token != null) { 
     UserDetails user = getUserFromToken(token); 

     if (user != null) 
      return new UsernamePasswordAuthenticationToken(user, user.getPassword(), user.getAuthorities()); 
    } 

    return null; 
} 

public UserDetails getUserFromToken(String token) { 
    Jws<Claims> jws = Jwts.parser() 
      .requireIssuer("myIssuer") 
      .setSigningKey("myBase64Secret==") 
      .parseClaimsJws(token); 

    String username = jws.getBody().getSubject(); 
    return userDetailsService.loadUserByUsername(username); 
} 

Die Bibliothek, die ich für JWT benutzen Sie wird https://github.com/jwtk/jjwt

Dieses Tutorial auch Sie Setup JWT https://www.toptal.com/java/rest-security-with-jwt-spring-security-and-java