当前位置:首页 > 短网址资讯 > 正文内容

WebSocket 的鉴权授权方案

www.ft12.com7年前 (2017-08-05)短网址资讯2640

引子

WebSocket 是个好东西,为我们提供了便捷且实时的通讯能力。然而,对于 WebSocket 客户端的鉴权,协议的 RFC 是这么说的:

This protocol doesn’t prescribe any particular way that servers can
authenticate clients during the WebSocket handshake. The WebSocket
server can use any client authentication mechanism available to a
generic HTTP server, such as cookies, HTTP authentication, or TLS
authentication.

也就是说,鉴权这个事,得自己动手

协议原理

WebSocket 是独立的、创建在 TCP 上的协议。

为了创建Websocket连接,需要通过浏览器发出请求,之后服务器进行回应,这个过程通常称为“握手”。

实现步骤:

1. 发起请求的浏览器端,发出协商报文:

2. 服务器端响应101状态码(即切换到socket通讯方式),其报文:

3. 协议切换完成,双方使用Socket通讯

直观的协商及通讯过程:

websocket-lifecycle

方案

通过对协议实现的解读可知:在 HTTP 切换到 Socket 之前,没有什么好的机会进行鉴权,因为在这个时间节点,报文(或者说请求的Headers)必须遵守协议规范。但这不妨碍我们在协议切换完成后,进行鉴权授权:

鉴权

  1. 在连接建立时,检查连接的HTTP请求头信息(比如cookies中关于用户的身份信息)

  2. 在每次接收到消息时,检查连接是否已授权过,及授权是否过期

  3. 以上两点,只要答案为否,则服务端主动关闭socket连接

授权

服务端在连接建立时,颁发一个ticket给peer端,这个ticket可以包含但不限于:

  • peer端的uniqueId(可以是ip,userid,deviceid…任一种具备唯一性的键)

  • 过期时间的timestamp

  • token:由以上信息生成的哈希值,最好能加盐

安全性的补充说明

有朋友问:这一套机制如何防范重放攻击,私以为可以从以下几点出发:

  • 可以用这里提到的expires,保证过期,如果你愿意,甚至可以每次下发消息时都发送一个新的Ticket,只要上传消息对不上这个Ticket,就断开,这样非Original Peer是没法重放的

  • 可以结合redis,实现 ratelimit,防止高频刷接口,这个可以参考 express-rate-limit,原理很简单,不展开

  • 为防止中间人,最好使用wss(TLS)

代码实现

WebSocket连接处理,基于 node.js 的 ws 实现:

授权用到的 Ticket(这里存储用到的是knex + postgreSQL):

utils 的哈希方法:

扫描二维码推送至手机访问。

版权声明:本文由短链接发布,如需转载请注明出处。

本文链接:https://www.ft12.com/article_382.html

标签: WebSocket鉴权
分享给朋友:

相关文章

论坛私信推广的准确操作姿态

论坛私信推广的准确操作姿态

本人操作过的项目许多,每一个简直都是从零起步,从没想过把一切资源整合到一同,错过了太多用户,错过了太多粉丝,我在短网址行业没有一个兄弟,多年来陪我的即是那几台电脑和日夜运行的软件。但是今天我不是来抱怨的,言归正传,分享给咱们一个亲自操作的案...

FT12短网址:从零开始搭建超大型机票交易平台

FT12短网址:从零开始搭建超大型机票交易平台

FT12短网址资讯:从无到有构建一个大型交易平台对工程师来说是很有应战的事情。在构建过程中会碰见各种技能或许非技能的问题,作为一个工程师又该怎么处理这些问题,这是所有工程师都需求思考的问题。知名旅行网站担任交易平台技能的小雄哥总结了自己的亲...

META标签指南:哪些meta标签该用哪些不该用?

META标签指南:哪些meta标签该用哪些不该用?

META标签是网页代码中HEAD区的一个关键标签,其提供的信息虽然用户不可见,但却是文档的最基本的元信息。说起meta标签,许多SEOer的第一反应就是K与D:keywords和description。这两种短链接是在优化过程中最常用的也是...

关于短网址api接口增加apikey认证的说明

关于短网址api接口增加apikey认证的说明

    FT12短网址上线7年了,感谢用户7年来的支持。我们也一直致力于提供免费、快速、稳定的网址缩短服务。7年来我们的服务在线率达到了99.99%。但是,近期发现很多恶意用户或者竞争对手,滥用api接口,生成了大量无用...

玩王者荣耀觉得辅助都是躺赢的,祝你们对手遇到我

玩王者荣耀觉得辅助都是躺赢的,祝你们对手遇到我

我以前玩虚荣的时候,固定打游走的位置,靠着天使奥达基,经常被朋友夸。但也偶尔也被人嫌弃,我有个朋友,总认为辅助就是天生女孩子玩儿的,男人就该往前冲冲冲。他打虚荣的时候,玩豹哥扛着斧头就往前冲,每次打着打着人不见了,对兵矿有谜一样的热情,队伍...

如何使营销短信效果最大化?FT12「短链接」统计功能来支招

营销短信可以用较低成本换来高转化率,同时可以达到精准营销的目的,因而广泛受到电商平台的追捧。 但短信链接有没有被点击,短信发出去后的效果如何?如何让营销短信变成用户喜爱的有价信息而非垃圾信息?如何评估营销短信转化率?FT12「短链...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。