Websocket推送中心(二)-基于Stomp的推送中心设计

概述

本文是WebSocket推送中心的第二章节， 本系列文章是在Spring Websocket Stomp的基础上实现的推送系统，计划包含如下几篇文章：

第一篇 ： Spring Websocket Stomp介绍

第二篇 ： 基于Websocket Stomp的推送中心实现

第三篇 ： 推送中心单机支持百万级连接的晋级之路

第四篇 ： 推送中心的集群架构方案设计落地

本章主线

上篇文章介绍了Spring WebSocket STOMP相关内容，奠定了推送中心使用Websocket协议来做，采用Spring Websocket STOMP框架快速实现了简单的服务端到客户端的推送。

功能需求

推送中心的目标是为了满足全公司的后端推送业务的，从功能上需要满足多个项目同时接入，同时项目与项目之间数据要完全隔离，不能 电商项目 的广播消息被 理财项目 给接收到了。为了说明推送中心的功能需要，请看下图。

实现广组单播

谈谈自己实现

在谈论如何使用Websocket实现广播、组播、单播之前，我们先来明确一下WebSocket的本质。WebSocket其实是客户端和服务端 多对1 建立的长连接，对于服务端( 推送中心 )来说，它和N个客户端连接，所以它自然可以给每个连接打 tag ，比如他可以标机一条连接是电商项目的用户1，另一条连接是理财项目的 shanghai 组。所以我们可以在应用内部设计这样一个映射表来实现:

谈谈借助STOMP实现

看到这里其实已经明白，所谓的广播、多播、单播，在WebSocket下就是 主题 和 链接 的关系。客户端订阅唯一的主题就是单播，客户端都订阅相同的主题就是广播，某一些客户端订阅相同的主题就是多播。这和第一章我们聊的STOMP协议是相似的，我把上篇的相关代码拿过来。

1
2
3
4
5
6
7
8
9
10
11
12
13
14

// javascript客户端订阅主题
stompClient.subscribe('/topic/greetings', function (greeting) {
    // 服务端发送消息，客户端收到展示
    showGreeting(JSON.parse(greeting.body).content);
});
// 订阅单用户消息
stompClient.subscribe('/user/queue/' + project + '/', function (greeting) {
    showGreeting('UserMessage: ' + JSON.parse(greeting.body).content);
});

// java服务端向该主题发送消息
messagingTemplate.convertAndSend("/topic/greetings",
 new Greeting("Hello, " + HtmlUtils.htmlEscape(message.getName()) + "!"))
}

1
2
3
4
5
6

{
  "projectId": "电商项目id",
  "playLoad": "{\"content\":\"解析我,做你想做的事情\"}",
  "topic": "all/group1/",
  "updateTime": 1557676800000
}

实现鉴权

方案设计

客户端在和推送中间建立ws连接时需要鉴权，如果一个不合法的客户端成功和Websocket建立链接，那么就可以收到他想窃听的消息。客户端和推送中心建立ws连接时，推送中心需要去找业务系统确认客户端的合法性，具体实现方案有很多种。

这种方案虽然没问题，但是交互复杂，而且没法识别用户。我理想的交互方式是在对客户端鉴权时不要让推送中心和项目后盾最交互。其实推送中心对客户端鉴权，我认为是JWT的一种典型场景，JWT就像是业务系统颁布的合法的签名，推送中心作为第三方部门系统，是认可这个签名的。具体步骤如下，关于JWT相关推荐 文章

STOMP协议建立时鉴权

The WebSocket protocol, RFC 6455 “doesn’t prescribe any particular way that servers can authenticate clients during the WebSocket handshake.” In practice, however, browser clients can use only standard authentication headers (that is, basic HTTP authentication) or cookies and cannot (for example) provide custom headers. Likewise, the SockJS JavaScript client does not provide a way to send HTTP headers with SockJS transport requests. See sockjs-client issue 196. Instead, it does allow sending query parameters that you can use to send a token, but that has its own drawbacks (for example, the token may be inadvertently logged with the URL in server logs).

Spring Websocket STOMP 官网 在Token Authenication中说到，由于WebSocket协议并没有规定在WebSocket握手期间对客户端进行身份认证，而且SockJS JavaScript客户端不提供建立连接时自定义请求头，但是允许传入请求参数，所以我们可以把token放到请求参数当中。

Spring Websocket STOMP官网没有选择把token在ws握手时传入，推荐在创建STOMP协议时带入token到服务端认证，通过创建 ChannelInterceptor 实现，可以参见 推送中心完整项目地址

客户端在STOMP建立时传入JWT

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

stompClient = Stomp.over(socket); stompClient.connect({ token: token, projectId: projectId }, connectCallback, errorCallback); //连接失败时的回调函数 function errorCallback(res) { if(res属于鉴权失败) { // 取消连接，调用回调函数 } if(res属于服务端不存在或者网络错误) { // 隔段时间重试 } } }

服务端配置STOMP认证管道校验JWT，Spring Boot官方为配置一个 Inbound 的拦截器，拦截 Connect 请求，这其实是属于STOMP的第一次握手时鉴权。但是只配置 Inbound 只能设置鉴权用户和设置用户，并不能把

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

@Configuration @EnableWebSocketMessageBroker public class MyConfig implements WebSocketMessageBrokerConfigurer { /** * 配置STOMP认证管道 * @param registration */ @Override public void configureClientInboundChannel(ChannelRegistration registration) { registration.interceptors(new ChannelInterceptor() { @Override public Message<?> preSend(Message<?> message, MessageChannel channel) { StompHeaderAccessor accessor = MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class); if (StompCommand.CONNECT.equals(accessor.getCommand())) { Map<String, LinkedList> headers = (Map) message.getHeaders() .get(SimpMessageHeaderAccessor.NATIVE_HEADERS); // 鉴权,校验失败会抛出异常,通过ws把消息给到客户端 Principal user = authenticate(headers); accessor.setUser(user); } return message; } }); } }

Websocket建立时鉴权

上述官方推荐在建立STOMP协议时鉴权，虽然socket js不支持修改ws的headers，但是也可以放在请求入参中完成在WebSocket握手时鉴权。相关代码如下

客户端在WS建立时传入JWT

1 2 3

var socket = new SockJS('/msg-center/websocket?token=' + token + "&projectId=" + projectId) stompClient = Stomp.over(socket); stompClient.connect({}, connectCallback, errorCallback);

服务端配置拦截器校验JWT

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68

/** * 注册STOMP协议节点并映射url * @param registry */ @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry // 注册一个 /websocket 的 websocket 节点 .addEndpoint("/websocket").addInterceptors() // 添加 websocket握手拦截器 .addInterceptors(myHandshakeInterceptor()) // 添加 websocket握手处理器 .setHandshakeHandler(myDefaultHandshakeHandler()) // 设置允许可跨域的域名(一定程度预防CSRF攻击) .setAllowedOrigins("*") // 指定使用SockJS协议 .withSockJS(); } /** * WebSocket 握手拦截器 可做一些用户认证拦截处理 */ private HandshakeInterceptor myHandshakeInterceptor() { return new HandshakeInterceptor() { /** * websocket握手连接 * @return 返回是否同意握手 */ @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) { ServletServerHttpRequest req = (ServletServerHttpRequest) request; // 根据token认证用户，不通过返回拒绝握手 String token = req.getServletRequest().getParameter("token"); String projectId = req.getServletRequest().getParameter("projectId"); Principal user = authenticate(projectId, token); if (user == null) { return false; } // 保存会话信息 attributes.put("user", user); attributes.put("remoteUrl", request.getRemoteAddress()); attributes.put("projectId", projectId); return true; } @Override public void afterHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Exception exception) { } }; } /** * WebSocket 握手处理器 */ private DefaultHandshakeHandler myDefaultHandshakeHandler() { return new DefaultHandshakeHandler() { @Override protected Principal determineUser(ServerHttpRequest request, WebSocketHandler wsHandler, Map<String, Object> attributes) { // 设置认证通过的用户到当前会话中 return (Principal) attributes.get("user"); } }; }

实现管理连接

在Spring Web STOMP中可以使用 SimpUserRegistry 对象获取所有 session 的集合。推送中心在支持多项目的情况下，对 SimpUserRegistry 结果做了处理，支持分项目分订阅主题来查看连接，但是暂时不能对连接做修改。样例数据：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

"data": [ { "projectId": "fm", "wsUserSessionVos": [ { "userId": "wudixiaobaozi", "sessions": [ { "sessionId": "jdtcl3r4", "remoteUrl": "/127.0.0.1:52476", "subscriptions": [ "/user/queue/fm/", "/topic/fm/all/group1/dss" ] }, { "sessionId": "fyhgruy5", "remoteUrl": "/127.0.0.1:52465", "subscriptions": [ "/topic/fm/all/group1/", "/user/queue/fm/" ] } ] } ] } ]

实现安全

其实WebSocket涉及很多安全性的问题，笔者目前还没实验踩坑，后续会单独对安全性进行测试，感兴趣的可以先参考 该篇文章 。

总结

本篇介绍了如何使用Spring WebSocket STOMP支持多项目下广播，多播，单播推送设计，通过前后端约定主题，后端调用推送中心restful接口实现。另外介绍了推送中心的鉴权方案设计，以及两种实现方式。可参考

推送中心完整代码 。

到现在为止，单体的推送中心设计已经结束，后续会分享单体推送中心服务器调优达到百万级长连接，以及推送中心的集群方案设计。

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议，转载请注明出处。