項目系統Netty的Channel和用戶之間的關系綁定正確做法,以及Channel通道的安全性方案

前言

考慮一個功能業務,在web程序中向指定的某個用戶進行實時通訊

在Web運用的Socket通訊功能中(如在線客服),為保證點對點通訊.而這個看似簡單的根據用戶尋到起channel通道實際會碰到不少問題

1. web程序中的Http協議是無狀態的
2. 一般項目中socket服務和web項目是獨立部署的
3. socket連接存在重連的情況,而Channel對象每次都不一樣
4. Channel是面向網卡綁定的,無法序列化

解決方案

通過管理一個線程安全的用戶標識(如用戶主鍵)和對應channel的map鏈表

    private final ConcurrentHashMap<String, Channel> channelMap = new ConcurrentHashMap<>();

那么問題來了,

• 在netty模塊中怎么得到這個用戶標識?
• 又如何保證netty socket模塊可以安全的識別某個通道屬於某個用戶?(這個可以像上面一樣的方式解決)
• netty socket模塊接收到一條消息又任何證明這條通道是可信的?

在netty的實現中是沒有認證也沒有HttpSession這個東西的,也就是說.在netty程序線程中是無法得到web項目登錄的用戶情況的.

出於這點,參考web項目集群的session共享方案.可以在Redis等緩存中保存登錄信息.

1. 在web項目中登錄之后在redis中在這個以用戶id為名的key中保存一個token,
2. 在客戶端socket通道建立之后立馬發送包含一個用戶標識和ASK到socket服務端,
3. 服務端根據ASK計算一個token和redis比對.一旦比對成功,則綁定當前channel和用戶之間的關系;
4. 之后server每接收到一條消息就檢測當前通道有沒有綁定用戶信息

這個key是一次性的.這點非常重要,試想一下.在你前台項目可能因為cookie過期或者后台已經自動將該用戶下線,而你的用戶標識和ASK暴露.那么就可能被惡意連接發送消息;

另外關於token和ASK之類的驗證傳輸如果僅僅是為了識別和綁定用戶與channel的關系,這點也是可以忽略的,只要redis中保存該用戶的登錄狀態即可,通道建立的第一次通訊就傳輸當前瀏覽器的登錄用戶標識,再去redis中比對即可,但是redis中的這個key還是一次性的好,避免一個用戶建立多條socket通道

正確的綁定通道Channel和用戶之間的關系

如果我們僅僅有一個ConcurrentHashMap<String, Channel>,是無法快速優雅的判斷當前channel是屬於哪個用戶的;我看到別人絕大多數的實現是在創建一個channelId和用戶標識的Map來管理

    //key為channel的長id,channel.id().asLongText();value為用戶id
    private final ConcurrentHashMap<String, String> channelAndUserMap = new ConcurrentHashMap<>();

其實這不是最合理的做法,正確的做法是利用Channel對象提供的AttributeMap來保存該通道的附帶信息,很多人不知道Channel對象提供了一個綁定自定義數據的Map
使用示例

    //用戶id=>channel示例
    private final ConcurrentHashMap<String, Channel> channelMap = new ConcurrentHashMap<>();


 /**
     * 判斷一個通道是否有用戶在使用
     * 可做信息轉發時判斷該通道是否合法
     * @param channel
     * @return
     */
    public boolean hasUser(Channel channel) {
        AttributeKey<String> key = AttributeKey.valueOf("user");
        return (channel.hasAttr(key) || channel.attr(key).get() != null);//netty移除了這個map的remove方法,這里的判斷謹慎一點
    }

    /**
     * 上線一個用戶
     *
     * @param channel
     * @param userId
     */
    public void online(Channel channel, String userId) {
        //先判斷用戶是否在web系統中登錄?
        //這部分代碼個人實現,參考上面redis中的驗證
        
            this.channelMap.put(userId, channel);
            AttributeKey<String> key = AttributeKey.valueOf("user");
            channel.attr(key).set(userId);
        

    }

    /**
     * 根據用戶id獲取該用戶的通道
     *
     * @param userId
     * @return
     */
    public Channel getChannelByUserId(String userId) {
        return this.channelMap.get(userId);
    }

    /**
     * 判斷一個用戶是否在線
     *
     * @param userId
     * @return
     */
    public Boolean online(String userId) {
        return this.channelMap.containsKey(userId) && this.channelMap.get(userId) != null;
    }

注意!!

很多人拿channel.id().asShortText()來記錄標識channel,這是錯誤的!!!!!短id不保證全局唯一!!