JSR-356 WebSockets with Tomcat - 如何限制单个IP地址内的连接数？

1. 为每个用户生成一个令牌，在初始请求（websocket握手之前）中包含其IP地址
2. 将令牌传递到终端实现之前的链路上

使用HttpSession

1. 使用 ServletRequestListener 监听传入的 HTTP 请求。
2. 在传入请求上调用 request.getSession() 确保它有一个会话，并将客户端 IP 存储为会话属性。
3. 创建一个 ServerEndpointConfig.Configurator，从 HandshakeRequest#getHttpSession 中提取客户端 IP，并使用 modifyHandshake 方法将其作为用户属性附加到 EndpointConfig 上。
4. 从 EndpointConfig 用户属性中获取客户端 IP，将其存储在映射表或其他位置，并在每个 IP 的会话数超过阈值时触发清理逻辑。

您也可以使用 @WebFilter 替代 ServletRequestListener

请注意，除非您的应用程序已经使用会话（例如用于身份验证），否则此选项可能会消耗大量资源。

在 URL 中以加密令牌的形式传递 IP

1. 创建一个servlet或过滤器，附加到非websocket入口点，例如/mychat
2. 获取客户端IP，使用随机salt和秘密密钥进行加密以生成令牌。
3. 使用ServletRequest#getRequestDispatcher将请求转发到/mychat/TOKEN
4. 配置你的端点使用路径参数，例如@ServerEndpoint("/mychat/{token}")
5. 从@PathParam中提取令牌并解密以获取客户端IP。将其存储在地图或其他位置，并触发清理逻辑，如果每个IP的会话数超过阈值。

为了方便安装，您可能希望在应用程序启动时生成加密密钥。

请注意，即使您正在执行对客户端不可见的内部调度，也需要加密IP。如果未加密，则没有任何防止攻击者直接连接到/mychat/2.3.4.5，从而伪造客户端IP的措施。

另请参见：

• Apache Tomcat 8 WebSocket的来源和客户端地址
• 查找给定客户端IP创建的活动会话数量
• 在Web Socket @ServerEndpoint中从HttpServletRequest访问HttpSession
• https://tyrus.java.net/documentation/1.4/index/websocket-api.html
• http://docs.oracle.com/javaee/7/tutorial/doc/websocket010.htm#BABJAIGH

Socket对象被隐藏在WsSession中，因此您可以使用反射来获取IP地址。该方法的执行时间约为1毫秒。这个解决方案并不完美，但是很有用。

public static InetSocketAddress getRemoteAddress(WsSession session) {
    if(session == null){
        return null;
    }

    Async async = session.getAsyncRemote();
    InetSocketAddress addr = (InetSocketAddress) getFieldInstance(async, 
            "base#sos#socketWrapper#socket#sc#remoteAddress");

    return addr;
}

private static Object getFieldInstance(Object obj, String fieldPath) {
    String fields[] = fieldPath.split("#");
    for(String field : fields) {
        obj = getField(obj, obj.getClass(), field);
        if(obj == null) {
            return null;
        }
    }

    return obj;
}

private static Object getField(Object obj, Class<?> clazz, String fieldName) {
    for(;clazz != Object.class; clazz = clazz.getSuperclass()) {
        try {
            Field field;
            field = clazz.getDeclaredField(fieldName);
            field.setAccessible(true);
            return field.get(obj);
        } catch (Exception e) {
        }            
    }

    return null;
}

并且 pom 配置是：

<dependency>
  <groupId>javax.websocket</groupId>
  <artifactId>javax.websocket-all</artifactId>
  <version>1.1</version>
  <type>pom</type>
  <scope>provided</scope>
</dependency>
<dependency>
  <groupId>org.apache.tomcat</groupId>
  <artifactId>tomcat-websocket</artifactId>
  <version>8.0.26</version>
  <scope>provided</scope>
</dependency>

如果您正在使用符合JSR-356标准的Tyrus，则可以从Session实例中获取IP地址，但这是一种非标准方法。

请参见此处。

 @OnOpen
    public void onOpen(Session session) {
        UndertowSession us = (UndertowSession) session;
        String ip = us.getWebSocketChannel().getSourceAddress().getHostString();

如果使用：implementation 'io.quarkus:quarkus-websockets'

@OnOpen
  public void onOpen(final Session session, final @PathParam("userId") String userId) {
    UndertowSession us = (UndertowSession) session;
    System.out.println("Remote Address: " + us.getChannel().remoteAddress());

    SESSIONS.put(userId, session);
    log.info("User " + userId + " joined");
  }