当前位置：首页 > news >正文

第5篇：websocket http握手拦截器HandshakeInterceptor 介绍和使用

news 2026/5/12 19:14:34

作用：在 WebSocket建立连接前的 HTTP 握手阶段进行拦截，用于验证、授权或传递上下文信息。

关键时机：发生在客户端发起 WebSocket 连接请求（HTTP Upgrade 请求）时，连接尚未真正建立。

典型场景：
身份校验：检查用户是否登录（如验证 Token、Cookie）。
权限控制：判断用户是否有权建立该 WebSocket 连接。
参数提取：从 URL 或请求头中提取必要参数（如房间 ID、用户 ID），存入 attributes 供后续 WebSocket 会话使用。
拒绝非法连接：不符合条件的请求直接拒绝握手，不建立 WebSocket 连接。

简单说：它是 WebSocket 连接的“安检门”，决定让不让进，以及进门时带什么信息。

示例：从请求头（如 Authorization: xxx）提取 Token 并验证用户是否合法

1 编写一个拦截器类，验证token , 并往 attributes 放入数据，供后续会话使用

import jakarta.servlet.http.HttpServletRequest; import org.springframework.http.server.ServerHttpRequest; import org.springframework.http.server.ServerHttpResponse; import org.springframework.http.server.ServletServerHttpRequest; import org.springframework.stereotype.Component; import org.springframework.web.socket.WebSocketHandler; import org.springframework.web.socket.server.HandshakeInterceptor; import java.util.Map; @Component public class hand_interceptor_v1 implements HandshakeInterceptor { /** * 在握手之前执行该方法, 继续握手返回true, 中断握手返回false */ @Override public boolean beforeHandshake(ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse, WebSocketHandler webSocketHandler, Map<String, Object> map) throws Exception { if(serverHttpRequest instanceof ServletServerHttpRequest){ ServletServerHttpRequest serverRequest = (ServletServerHttpRequest) serverHttpRequest; HttpServletRequest httpServletRequest = serverRequest.getServletRequest(); // 从查询参数中获取 Authorization String authParam = httpServletRequest.getParameter("Authorization"); //替换为你的实际 Token 验证逻辑（如 JWT 解析、查 Redis 等） if (authParam != null && authParam.startsWith("xiaopengyou_")) { //设置值,将用户名存入 attributes，供后续 STOMP 会话使用 map.put("username", authParam); System.out.println("握手拦截器: beforeHandshake:"+authParam); return true; } } return false; } /** * 在握手之后执行该方法 */ @Override public void afterHandshake(ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse, WebSocketHandler webSocketHandler, Exception e) { if(serverHttpRequest instanceof ServletServerHttpRequest){ ServletServerHttpRequest serverRequest = (ServletServerHttpRequest) serverHttpRequest; System.out.println("握手拦截器: afterHandshake:"); } } }

2 轻量级用户身份标识，不依赖 Spring Security

import lombok.EqualsAndHashCode; import lombok.Getter; import lombok.RequiredArgsConstructor; import java.security.Principal; /** * 轻量级用户身份标识，不依赖 Spring Security */ @Getter @RequiredArgsConstructor @EqualsAndHashCode public class UserPrincipal implements Principal { private final String name; @Override public String getName() { return this.name; } }

3WebsocketConfig配置拦截器addInterceptors(new HttpHandShakeIntecepter())

@Configuration @EnableWebSocketMessageBroker public class WebSocketConfig implements WebSocketMessageBrokerConfigurer { @Autowired private hand_interceptor_v1 handInterceptorV1 ; @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/ws") // 配置拦截器，关键注意这2个方法 .addInterceptors(handInterceptorV1) .setHandshakeHandler(new DefaultHandshakeHandler() { @Override protected Principal determineUser(ServerHttpRequest request, WebSocketHandler wsHandler, Map<String, Object> attributes) { // 从 attributes 取出 username String username = (String) attributes.get("username"); // 包装成 Spring Security 的 Principal（即使没用 Security 也能用） return username != null ? new UserPrincipal(username) : null; } }) .setAllowedOriginPatterns("*") .withSockJS(); } }

4 在监听器里面获取到拦截器传递的参数

import org.springframework.context.event.EventListener; import org.springframework.messaging.simp.stomp.StompHeaderAccessor; import org.springframework.stereotype.Component; import org.springframework.web.socket.messaging.SessionConnectEvent; import org.springframework.web.socket.messaging.SessionSubscribeEvent; @Component public class WebSocketEventListener_v1 { @EventListener public void onApplicationEvent_1(SessionConnectEvent event) { StompHeaderAccessor headerAccessor = StompHeaderAccessor.wrap(event.getMessage()); System.out.println("【ConnectEventListener监听器事件 类型】"+headerAccessor.getCommand().getMessageType()); //方式1，上面的配置类做了设置 System.out.println("headerAccessor.getUser() = " + headerAccessor.getUser().getName()); //方式2 ,一般的参数用这种 String username = headerAccessor.getSessionAttributes().get("username").toString(); System.out.println("【ConnectEventListener监听器事件 获取用户名为】"+username); } @EventListener public void onApplicationEvent_2(SessionSubscribeEvent event) { StompHeaderAccessor headerAccessor = StompHeaderAccessor.wrap(event.getMessage()); System.out.println("【SubscribeEventListener监听器事件 类型】"+headerAccessor.getCommand().getMessageType()); System.out.println("headerAccessor.getUser() = " + headerAccessor.getUser().getName()); String username = headerAccessor.getSessionAttributes().get("username").toString(); System.out.println("【SubscribeEventListener 监听器类 获取用户名为】"+username); } }

4 启用客户端开始测试，如果客户端没有传递Authorization，则无法连接，
，连接成功后，控制台能看出执行的顺序和从拦截器里取值

握手拦截器: beforeHandshake:xiaopengyou_205093 握手拦截器: afterHandshake: 【ConnectEventListener监听器事件 获取用户名为】xiaopengyou_205093 【SubscribeEventListener 监听器类 获取用户名为】xiaopengyou_205093

查看全文

http://www.jsqmd.com/news/472685/