安全问题
WebSocket作为一种通信协议引入到Web应用中,并不会解决Web应用中存在的安全问题,因此WebSocket应用的安全实现是由开发者或服务端负责。这就要求开发者了解WebSocket应用潜在的安全风险,以及如何做到安全开发规避这些安全问题。
认证步骤
使用JWT进行身份认证是一种常见的做法,因为它可以方便地在客户端和服务器之间传递用户的身份信息。在WebSocket通信中,可以通过URL地址传递令牌参数来实现JWT身份认证。
以下是实现这一过程的一般步骤:
用户登录 :用户通过传统的HTTP请求登录系统,提供用户名和密码。
生成JWT :服务器验证用户的凭据后,生成一个JWT。这个令牌包含了用户的身份信息和一些额外的声明(如角色、权限等),并且被服务器的密钥签名。
发送JWT :服务器将JWT发送回客户端。
客户端存储JWT :客户端(通常是浏览器)需要安全地存储这个JWT,比如使用LocalStorage、SessionStorage或者Cookies。
建立WebSocket连接 :客户端使用WebSocket协议发起连接请求。在连接URL中,通过查询参数的方式附加JWT令牌。例如:
ws://wss.tinywan.com/socket?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...服务器验证JWT :服务器接收到WebSocket连接请求后,解析URL中的令牌参数,并验证JWT的有效性。这包括检查签名、过期时间以及任何其他服务器关心的声明。
建立连接 :如果JWT验证成功,服务器接受WebSocket连接请求,建立WebSocket连接。否则,服务器可以拒绝连接。
后续通信 :一旦WebSocket连接建立,客户端和服务器就可以通过这个连接进行双向通信。在某些实现中,JWT可能在每次WebSocket消息发送时都包含在内,以便于持续验证用户身份。
请注意,JWT令牌应该始终通过安全的方式传递,比如使用
wss://
(WebSocket Secure,即WebSocket协议的加密版本)来避免中间人攻击。此外,JWT不应该包含敏感信息,因为它们可以被解码(尽管不含密钥无法伪造)。
令牌认证
在WebSocket通信中加入Token主要是为了实现身份验证和授权,确保只有经过验证的用户可以建立WebSocket连接。由于
WebSocket API
本身不支持直接在连接时设置HTTP头部,因此需要采用一些变通的方法来传递Token。
1. 链接地址参数传递Token
这种方法简单直接,但安全性较低,因为Token会暴露在URL中,容易被截获。
var ws = new WebSocket("ws://wss.tinywan.com?authorization="+ACCESS_TOKEN);
ws.onopen = function(evt) {
ws.send("认证授权和实现思路");
};
2. TCP建立连接后发送Token
var ws = new WebSocket("ws://wss.tinywan.com");
ws.addEventListener('open', (event) => {
ws.send('Authorization: Bearer ' + ACCESS_TOKEN);
});
3. 使用WebSocket子协议(Sec-WebSocket-Protocol)
利用WebSocket的子协议特性传递Token。这种方法需要服务器端支持并正确处理子协议。
const access_token = localStorage.getItem('access_token');
var ws = new WebSocket("ws://wss.tinywan.com",[access_token]);
