我正在尝试向注册成员(member)区域的安全 WebSocket 服务器 (wss) 验证客户端身份。
一旦成员连接到 Web 服务器,我就会在数据库中记录一个唯一 token (与该成员关联),该 token 显示在启动与 Web Socket 服务器的连接的页面上的隐藏字段中。
然后 token 被发送到 WebSocket 服务器,该服务器使用 token 对帐户进行身份验证。
我确实不是安全专家,我想听听您对我的身份验证安全性的看法。
是否存在任何风险(Cookie 劫持除外)?考虑到 WebSocket 没有规定服务器在 WebSocket 握手期间对客户端进行身份验证的任何特定方式,是否有更好的方法继续进行。
我使用 Ratchet WebSocket。
最佳答案
是的,一种选择是使用 cookie(和 TLS 以避免 cookie 劫持):
在“基于纯旧 HTML 表单”登录后设置 cookie,将 cookie 传输到 WebSocket 服务器,并使用 cookie 来验证 WebSocket。
这是一个complete example使用 WebSocket 进行基于 Mozilla Persona 的身份验证。
您询问了棘轮车。这个例子不是 Ratchet,但它可能会给你一些线索 - 这就是为什么我认为可以指出来。
关于security - WebSocket认证安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22593948/