作者:Emma
来源:公众号锅外的大佬
WebSocket协议是应用程序处理实时讯息的方法之一。最常见的替代方案是长轮询(long polling)和服务器推送事件(server-sent events)。这些解决方案中的每个都有其优缺点。在本文中,我将向您展示如何使用 SpringBoot实现 WebSocket。我将介绍服务器端和客户端设定,使用 WebSocket协议之上的 STOMP进行相互通讯。
服务器端将完全用Java编码。但是,就客户端而言,我将展示用 Java和 JavaScript(SockJS)编写的片段,因为通常, WebSocket客户端嵌入在前端应用程序中。程式码示例将演示如何使用 pub-sub模型向多个使用者广播讯息以及如何仅向单个使用者传送讯息。在本文的另一部分中,我将简要讨论WebSocket安全问题以及如何确保即使环境不支援 WebSocket协议,基于 WebSocket的解决方案也能执行。
注意, WebSocket安全话题仅在此处简要介绍,因为这是一个非常复杂的问题,可以单独撰写一篇文章。由于这个原因,以及我在文章最后一节 WebSocketinproduction?中提及的因素,我建议在生产中先对安全设定进行修改,直到生产就绪,安全措施到位为止。
1.WebSocket和STOMP协议
WebSocket协议允许应用程序之间实现双向通讯。重要的是要知道 HTTP仅用于初始握手。初次握手之后, HTTP连线将升级为被 WebSocket使用的新 TCP/IP连线。
WebSocket协议是一种相当低阶的协议。它定义了如何将字节流转换为帧。帧可以包含文字或二进位制讯息。由于讯息本身不提供有关如何路由或处理它的任何其他资讯,因此很难在不编写其他程式码的情况下实现更复杂的应用程序。幸运的是, WebSocket规范允许在更高的应用程序级别上使用子协议。 STOMP是其中之一,由 SpringFramework支援。
STOMP是一种简单的基于文字的讯息传递协议,最初是为 Ruby, Python和 Perl等指令码语言建立的,用于连线企业级讯息代理。由于 STOMP,使不同语言开发的客户端和代理可以相互发送和接收讯息。 WebSocket协议有时称为 WebTCP。以此类推, STOMP被称为 WebHTTP。它定义了一些对映到 WebSocket帧的帧型别,例如 CONNECT, SUBSCRIBE, UNSUBSCRIBE, ACK或 SEND。一方面,这些命令非常便于管理通讯,另一方面,它们允许我们实现具有更复杂功能的解决方案,如讯息确认。
2.服务端:Spring Boot和WebSocket
为了构建 WebSocket服务器端,我们将利用 SpringBoot框架,该框架使得在Java中开发独立程式和Web应用程序更快。 SpringBoot包含 spring-WebSocket模组,该模组与 JavaWebSocketAPI标准(JSR-356)相容。
使用 SpringBoot实现 WebSocket服务器端并不是一项非常复杂的任务,只包含几个步骤,我们将逐一介绍。
步骤1:首先,新增WebSocket库依赖项。
org.springframework.boot
spring-boot-starter-websocket
如果计划使用 JSON格式传输讯息,则可能还需要包含 GSON或 Jackson依赖项。您还可能还需要一个安全框架,例如 SpringSecurity。
步骤2:然后,可以配置 Spring启用 WebSocket和 STOMP讯息传递。
configureMessageBroker主要做两件事情:
建立内存中的讯息代理,其中包含一个或多个用于传送和接收讯息的目标。在上面的示例中,定义了两个目标地址字首: topic和 queue。它们遵循以下惯例:通过pub-sub模型将以 topic为字首的讯息传递到所有订阅客户端的目标地址。另一方面,私有讯息的目标地址通常以 queue为字首。定义字首 app,用于过滤目标地址,这些地址在 Controller中被 @MessageMapping修饰的方法处理。
图:服务器端如何处理讯息
回到上面的程式码段 - 可能你已经注意到对方法 withSockJS()的呼叫——它启用了 SockJS后备选项。简而言之,即使互联网浏览器不支援 WebSocket协议,它也会让我们的 WebSockets工作。我将进一步详细讨论这个主题。
还有一件事需要澄清——为什么我们在端点上呼叫 setAllowedOrigins()方法。一般是必需的,因为 WebSocket和 SockJS的预设行为是仅接受同源请求。因此,如果客户端和服务端处于不同的域,则需要呼叫此方法允许它们之间的通讯。
步骤3:实现处理使用者请求的控制器
它将向订阅特定主题的所有使用者广播收到的讯息。这是一个将讯息传送到目标地址 /topic/news的示例方法。
在后面的步骤中,可能需要新增一些其他类来保护端点,例如 SpringSecurity框架中的 ResourceServerConfigurerAdapter或 WebSecurityConfigurerAdapter。此外,实现讯息模型通常是有益的,这样传输的 JSON可以对映成物件。
3.WebSocket客户端构建
客户端实现是一项更简单的任务。
有时需要向特定使用者传送讯息(例如,在实现聊天时)。然后,客户端和服务器端必须使用专用于此私人会话的单独目标地址。可以通过将唯一识别符号附加到通用地址来建立目标地址的名称,例如 /queue/chat-user123。 HTTP会话或 STOMP会话识别符号可用于此目的。
Spring使传送私人讯息变得更加容易。我们只需要使用 @SendToUser注释 Controller的方法。然后,目标地址将由 UserDestinationMessageHandler处理,它依赖于会话识别符号。在客户端,当客户端订阅以 /user为字首的目标地址时,此目标地址将转换为此使用者唯一的目标地址。在服务器端,根据使用者的 Principal解析使用者目标地址。
现在让我们看看如何实现一个能够接收私有讯息的 JavaScript(SockJS)客户端,该客户端可以接收上面的示例中的Java程式码传送的讯息。值得一提的是, WebSockets是 HTML5规范的一部分,并且受到大多数现代浏览器的支援(从版本10开始, InternetExplorer支援它们)。
您可能已经注意到,要接收私人讯息,客户端需要订阅字首为 /user的目标地址 /queue/greetings。它不必担心任何唯一识别符号。但是,在客户端登入应用程序之前,服务器端必须初始化 Principal物件。
4.WebSocket安全
许多 Web应用程序使用基于 cookie的身份验证,例如,我们可以使用 SpringSecurity限制已登入的使用者访问某些页面或控制器限制。然后,通过基于cookie的HTTP会话维护使用者上下文安全,该会话稍后与为该使用者建立的 WebSocket或 SockJS会话相关联。 WebSocket端点可以像任何其他请求一样受到保护,例如,在 Spring WebSecurityConfigurerAdapter中的实现。
如今, Web应用程序通常使用 REST API作为后端,使用 OAuth/JWT令牌进行使用者身份验证和授权。 WebSocket协议未描述服务器在 HTTP握手期间如何对客户端进行身份验证。实际上,标准 HTTP头(例如,授权)用于此目的。不幸的是,并非所有 STOMP客户端都支援它。 Spring的 STOMP客户端允许为握手设定标头:
WebSocketHttpHeaders handshakeHeaders = new WebSocketHttpHeaders();
handshakeHeaders.add(principalRequestHeader, principalRequestValue);
但是 SockJS的JavaScript客户端不支援使用 SockJS请求传送授权请求头(Authorization)。但是,它允许传送可用于传递令牌的查询引数。此方法需要在服务器端编写自定义程式码,该程式码将从查询引数中读取令牌并对其进行验证。特别重要的是确保令牌不与请求一起记录(或日志受到良好保护),因为这可能会导致严重的安全违规。
5.SockJS后备选项
与 WebSocket的整合可能并不总是尽如人意。某些浏览器(例如,IE 9)不支援 WebSocket。更重要的是,限制性代理可能使HTTP升级变得不可能,或者它们切断了开启太久的连线。在这种情况下,SockJS就会伸出援手。
SockJS传输分为三大类: WebSocket, HTTPStreaming和 HTTPLongPolling。通讯从 SockJS传送 GET /info以从服务器获取基本资讯开始。 SockJS根据响应决定使用的哪种传输方式。第一个选择是 WebSocket。如果不支援,则尽可能使用 Streaming。如果 Streaming也不可用,则选择轮询作为传输方法。
6.生产中使用WebSocket
虽然这种设定有效,但它并不是“最佳”。 SpringBoot允许您使用任何具有 STOMP协议的完整讯息系统(例如,ActiveMQ,RabbitMQ),并且外部代理可以支援更多 STOMP操作(例如,确认,租借)而不是我们使用的简单代理。 STOMPOverWebSocket提供有关 WebSocket和 STOMP协议的资讯。它列出了处理 STOMP协议的讯息传递系统,可能是在生产中使用的更好的解决方案。特别是由于请求数量很大,讯息代理需要进行丛集(Spring的简单讯息代理不适合丛集)。然后,不需要在 WebSocketConfig中启用简单代理,而是需要启用 Stomp代理中继,该中继将讯息转发到外部讯息代理和从外部讯息代理转发讯息。总而言之,外部讯息代理可以帮助您构建更具伸缩性和可靠性的解决方案。
原文连结:https://www.toptal.com/java/stomp-spring-boot-websocket
作者:Tomasz Dąbrowski
译者:Emma
