javascript - Websockets 客户端 API 中的 HTTP header

Question

看起来很容易使用任何支持此功能的 HTTP header 客户端将自定义 HTTP header 添加到您的 websocket 客户端，但我无法找到如何使用 Web 平台的 WebSocket API 来做到这一点。

有人知道如何实现吗？

var ws = new WebSocket("ws://example.com/service");

具体来说，我需要能够发送 HTTP 授权 header 。

Answer 1

更新了 2 倍

简答:不行，只能指定路径和协议(protocol)字段。

更长的答案:

JavaScript 中没有方法 WebSockets API用于指定客户端/浏览器发送的附加 header 。 HTTP 路径(“GET/xyz”)和协议(protocol)头(“Sec-WebSocket-Protocol”)可以在 WebSocket 构造函数中指定。

Sec-WebSocket-Protocol header (有时扩展为用于特定于 websocket 的身份验证)是从 WebSocket 构造函数的可选第二个参数生成的:

var ws = new WebSocket("ws://example.com/path", "protocol");
var ws = new WebSocket("ws://example.com/path", ["protocol1", "protocol2"]);

上面的结果如下:

Sec-WebSocket-Protocol: protocol

和

Sec-WebSocket-Protocol: protocol1, protocol2

实现 WebSocket 身份验证/授权的常见模式是实现一个票证系统，其中托管 WebSocket 客户端的页面从服务器请求票证，然后在 WebSocket 连接设置期间通过 URL/查询字符串中的协议(protocol)字段，或作为连接建立后的第一条消息所必需。然后，服务器仅在票证有效(存在、尚未使用、票证匹配中的客户端 IP 编码、票证中的时间戳是最近的等)时才允许连接继续。以下是 WebSocket 安全信息的摘要:https://devcenter.heroku.com/articles/websocket-security

基本身份验证以前是一个选项，但已被弃用，现代浏览器即使指定了 header 也不会发送。

基本身份验证信息(已弃用 - 不再起作用):

NOTE: the following information is no longer accurate in any modern browsers.

Authorization header 是从 WebSocket URI 的用户名和密码(或只是用户名)字段生成的:

var ws = new WebSocket("ws://username:password@example.com")

上面的结果是带有字符串“username:password”base64编码的以下 header :

Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

我已经在 Chrome 55 和 Firefox 50 中测试了基本身份验证，并验证了基本身份验证信息确实是与服务器协商的(这在 Safari 中可能不起作用)。

感谢 Dmitry Frank 的基本身份验证 answer