Ruoyi+WebSocket实战：如何绕过安全配置实现即时通讯功能

Ruoyi框架中WebSocket安全配置的深度实践指南

引言：当实时通讯遇上安全框架

在基于Ruoyi框架开发企业级应用时，实时通讯功能的需求日益普遍。想象这样一个场景：你的团队协作平台需要即时消息通知，客服系统要求实时对话能力，或者监控大屏必须推送实时数据更新。WebSocket作为HTML5标准协议，本应是最佳选择——直到你遇到那个令人头疼的错误："WebSocket connection to 'ws://localhost' failed:"。

这个看似简单的连接失败背后，实际上是Ruoyi强大的安全机制与WebSocket的无状态特性之间的冲突。不同于传统HTTP请求，WebSocket连接无法直接携带JWT token进行认证，而Ruoyi默认配置下所有请求都需要鉴权。本文将从框架原理层面剖析问题本质，提供三种不同安全等级的解决方案，并分享我在多个Ruoyi项目中验证过的实战技巧。

1. 理解Ruoyi安全机制的核心设计

1.1 Spring Security在Ruoyi中的定制实现

Ruoyi框架的安全体系建立在Spring Security之上，但进行了深度定制。关键配置位于ruoyi-framework/src/main/java/com/ruoyi/framework/config/SecurityConfig.java，其核心逻辑可概括为：

@Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() // 禁用CSRF保护 .sessionManagement().sessionCreationPolicy(STATELESS) // 无状态会话 .and() .authorizeRequests() .antMatchers("/login", "/register").permitAll() // 白名单 .anyRequest().authenticated(); // 其他请求需认证 }

这种配置带来的直接影响是：

• 所有非白名单端点默认需要认证
• 认证基于JWT token而非session
• 跨域请求需特殊处理

1.2 WebSocket与HTTP认证的协议差异

WebSocket协议在握手阶段使用HTTP Upgrade机制，但连接建立后转为全双工通信。这种混合特性导致以下认证难题：

提示：WebSocket握手请求不会自动携带Authorization header，这是大多数认证失败的根源

2. 三种安全等级的解决方案

2.1 方案一：白名单模式（开发环境适用）

对于内部测试或快速原型开发，最简单的方案是将WebSocket端点加入安全白名单：

.antMatchers("/websocket/**").permitAll()

实现步骤：

1. 修改SecurityConfig.java，添加WebSocket路径到permitAll列表
2. 确保前端连接地址与配置路径一致
3. 在WebSocket服务端实现基础IP限制

@Configuration @EnableWebSocket public class WebSocketConfig implements WebSocketConfigurer { @Override public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) { registry.addHandler(myHandler(), "/websocket") .setAllowedOrigins("*"); // 生产环境应指定具体域名 } }

优缺点分析：

• ✅ 实现简单，快速验证功能
• ❌ 无任何访问控制，存在安全风险
• ❌ 无法识别具体用户身份

2.2 方案二：Token验证握手（推荐生产环境使用）

更安全的做法是在握手阶段进行token验证，具体实现有两种方式：

方式A：URL参数传递token

前端连接代码调整：

const token = localStorage.getItem('token'); const socket = new WebSocket(`ws://your-domain.com/ws?token=${token}`);

后端验证拦截器：

public class AuthHandshakeInterceptor implements HandshakeInterceptor { @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) { String token = ((ServletServerHttpRequest) request) .getServletRequest().getParameter("token"); if(!JwtUtils.verifyToken(token)) { throw new AuthenticationCredentialsNotFoundException("Invalid token"); } String username = JwtUtils.getUsername(token); attributes.put("user", username); return true; } }

方式B：自定义Header验证

需要前端使用SockJS时配置transportOptions：

const socket = new SockJS('/ws-endpoint'); const stompClient = Stomp.over(socket); stompClient.connect({ 'X-Authorization': `Bearer ${token}` }, frame => { // 连接成功回调 });

对应后端配置：

registry.addHandler(handler, "/ws-endpoint") .addInterceptors(new HeaderAuthInterceptor()) .withSockJS() .setTransportOptions(new TransportHandlingOptions() .setMessageSizeLimit(512 * 1024));

2.3 方案三：双重认证通道（金融级安全）

对于高安全要求的场景，建议采用以下增强措施：

1. SSL/TLS加密：配置WSS协议

   server { listen 443 ssl; server_name your-domain.com; ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; location /wss/ { proxy_pass http://backend; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } }

2. 心跳检测+自动重连机制

   function connectWebSocket() { const socket = new WebSocket('wss://your-domain.com/ws'); socket.onclose = function() { setTimeout(connectWebSocket, 5000); // 5秒后重连 }; // 心跳包 setInterval(() => { if(socket.readyState === WebSocket.OPEN) { socket.send(JSON.stringify({type: 'heartbeat'})); } }, 30000); }

3. 消息加密示例（AES算法）：

   public class MessageEncryptor { private static final String KEY = "your-256-bit-key"; public static String encrypt(String message) { // 实现AES加密逻辑 } public static String decrypt(String encrypted) { // 实现AES解密逻辑 } }

3. 常见问题排查指南

3.1 连接失败问题排查清单

1. 跨域问题症状：

   • 浏览器控制台出现CORS错误
   • 响应头缺少Access-Control-Allow-Origin

   解决方案：

   @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin("*"); config.addAllowedMethod("*"); config.addAllowedHeader("*"); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); }

2. 403 Forbidden问题：

   • 检查SecurityConfig中CSRF是否禁用
   • 验证token是否过期
   • 确认WebSocket路径未被安全拦截

3. 连接不稳定处理：

   • 检查Nginx配置中的超时设置

   proxy_connect_timeout 7d; proxy_send_timeout 7d; proxy_read_timeout 7d;

3.2 性能优化建议

1. 连接数控制：

   @Configuration public class WebSocketConfig implements WebSocketConfigurer { @Override public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) { registry.addHandler(handler(), "/ws") .setHandshakeHandler(new DefaultHandshakeHandler( new TomcatRequestUpgradeStrategy())) .addInterceptors(new HttpSessionHandshakeInterceptor()) .setAllowedOrigins("*"); } }

2. 消息压缩配置：

   # application.properties server.compression.enabled=true server.compression.mime-types=text/html,text/xml,text/plain,application/json

4. 实战：构建企业级通知系统

4.1 架构设计

前端Vue组件 → WebSocket客户端 → 认证代理 → Ruoyi安全层 ↓ 消息持久化 ← 业务处理 ← WebSocket服务端 ← Redis消息队列

4.2 关键代码实现

后端事件广播：

@RestController @RequiredArgsConstructor public class NotificationController { private final SimpMessagingTemplate messagingTemplate; @PostMapping("/api/notify") public void sendNotification(@RequestBody NotifyMessage message) { // 业务处理... messagingTemplate.convertAndSendToUser( message.getTargetUser(), "/queue/notifications", message ); } }

前端订阅处理：

export default { data() { return { stompClient: null } }, mounted() { this.connect(); }, methods: { connect() { const socket = new SockJS('/ws'); this.stompClient = Stomp.over(socket); this.stompClient.connect({}, frame => { this.stompClient.subscribe( `/user/${this.username}/queue/notifications`, message => { this.handleNotification(JSON.parse(message.body)); } ); }); } } }

4.3 性能监控指标

建议监控以下WebSocket指标：

配置示例（使用Prometheus）：

@Bean public MeterRegistryCustomizer<MeterRegistry> metricsCommonTags() { return registry -> registry.config().commonTags( "application", "ruoyi-websocket" ); }

在经历了三个大型项目的实战检验后，我发现最稳定的配置组合是：方案二+心跳检测+消息压缩。特别是在高并发场景下，为不同业务类型分配独立的消息通道能显著提升系统稳定性。比如将系统通知与即时通讯分离，分别使用/topic/notifications和/queue/messages路径，这样即使某个通道出现阻塞也不会影响其他功能。