通过身份验证保护 Websocket 的最先进方法是什么?
问题是,每个人都可以下载 js 文件并查看页面连接的 websocket 的主机和端口。 我想到的唯一方法是:打开一个 wss(安全 websocket)并发送例如凭据,如果凭据错误,则关闭服务器端的连接?
最佳答案
首先,WebSocket 请求有一个 Origin HTTP header ,指示客户端运行的域。因此,如果您的站点是 www.whatever.com,并且您收到以 www.smartass.com 作为源的 WebSocket 请求,您可以拒绝它。这将防止其他人无意中让用户连接到您的服务。也就是说,仍然可以通过伪造该 header 从任何地方访问您的服务,但必须是有目的的。
WebSockets使用HTTP协商,因此它们可以在协商过程中携带cookie。如果您的 WebSocket 服务与站点的其余部分位于同一域或子域中,则您可以共享 cookie。例如,当您的用户成功登录时,将返回一个 cookie,他将在每次与服务器(包括 WebSocket 服务)的 HTTP 交互中使用该 cookie 来验证自己的身份。只需拒绝任何没有有效 cookie 的请求即可。
如果它们位于不同的域中,您可以按照您所说的操作,使用登录请求/登录响应消息来验证连接。
关于javascript - 打开 Websocket 之前进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27886404/