Как защитить сервер Websocket в Java EE 7

Question

Я хотел бы создать простое приложение CRUD с использованием веб-сокетов с веб-сервером Java EE 7 Websocket Server, работающим на Glassfish 4, общающимся с одним веб-сайтом. Мой вопрос: как я могу защитить свое приложение? Другими словами: как я могу выполнить аутентификацию пользователя и авторизацию? Потому что есть несколько сообщений, на которые я хотел бы, чтобы сервер отвечал только после авторизации и авторизации запрашивающего пользователя. И последнее, но не менее важное: как я могу обеспечить функцию «запомнить меня»? Спасибо.

Answer 1

Практический метод заключается в том, чтобы пользователь мог войти в систему через вашу веб-страницу, установив файл cookie из вашего веб-приложения при успешной аутентификации и проверить, что cookie на вашем сервере WebSocket на входящем соединении WebSocket со страницы.

Для этого требуется, чтобы веб-страница и WebSocket служили от одного источника (иначе браузер не будет отправлять cookie на соединение WebSocket).

Другая возможность - реализовать механизм аутентификации через сообщения поверх соединения WebSocket.

Другая возможность заключается в использовании аутентификации на основе TLS и на основе сертификата клиента.

Обратите внимание, что хотя WebSocket имеет начальное рукопожатие, основанное на HTTP, и вы можете в принципе использовать любой механизм проверки подлинности HTTP, существуют практические ограничения. Например. с базовой аутентификацией HTTP браузеры будут отображать диалоговые окна входа для простых запросов HTML-страниц, но не для так называемых подресурсов, например запросов на изображения .. и WebSocket (который также считается подресурсами).