Контрольный вопрос

WebSocket вводится в веб-приложения как протокол связи.,Это не решит проблему Контрольного вопроса в веб-приложениях., поэтому реализация безопасности приложений WebSocket является обязанностью разработчика или сервера. Это требует от разработчиков понимания потенциальных рисков безопасности приложений WebSocket и того, как безопасно разрабатывать их, чтобы избежать этих рисков. вопрос。

Этапы аутентификации

Использование JWT для аутентификации является распространенной практикой, поскольку позволяет удобно передавать идентификационную информацию пользователя между клиентом и сервером. При общении через WebSocket аутентификация JWT может быть достигнута путем передачи параметров токена через URL-адрес.

Вот общие шаги для достижения этой цели:

1. Вход пользователя：Пользователи используют традиционныеHTTPЗапрос на вход в систему,Укажите имя пользователя и пароль.
2. Создать JWT：После того как сервер проверит учетные данные пользователя,Создайте JWT. Этот токен содержит идентификационную информацию пользователя и некоторые дополнительные утверждения (например, роли, разрешения и т. д.).,и подписан ключом сервера.
3. Отправить JWT：Сервер будетJWTОтправить обратно клиенту。
4. Клиентские магазины JWT：клиент（обычно браузер）Нужно надежно хранить этоJWT,Например, используйте LocalStorage, SessionStorage или Cookies.
5. Установить соединение WebSocket：клиент使用WebSocketСоглашение инициированосоединятьпросить。существоватьсоединятьURLсередина,Прикреплено через параметры запросаJWTжетон。Например：ws://wss.tinywan.com/socket?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
6. Сервер проверяет JWT：Сервер получаетWebSocketсоединятьпросить后,Анализ параметров токена в URL,И проверьте достоверность JWT. Сюда входит проверка подписей, сроков действия и любых других претензий, которые важны для сервера.
7. Установить соединение：еслиJWTПроверка прошла успешно,Сервер принимает запрос на соединение WebSocket,Установить соединение Вебсокеты. В противном случае сервер может отклонить соединение.
8. Последующая переписка：один разWebSocketсоединять Учреждать,Благодаря этому соединению клиент и сервер могут осуществлять двустороннюю связь. В некоторых реализациях,JWT может включаться каждый раз при отправке сообщения WebSocket.,Для облегчения непрерывной проверки личности пользователя.

Обратите внимание, что токены JWT всегда следует передавать безопасными способами, например с помощью wss://（WebSocket Secure, зашифрованная версия протокола WebSocket), чтобы избежать атак «человек посередине». Кроме того, JWT не должны содержать конфиденциальную информацию, поскольку их можно декодировать (хотя их невозможно подделать без ключа).

Аутентификация токена

Основная цель добавления токена в связь через WebSocket — обеспечить аутентификацию и авторизацию, гарантируя, что только проверенные пользователи смогут установить. соединение WebSocket。потому чтоWebSocket API本身不支持直接существоватьсоединятьустановка времениHTTPголова,Поэтому для передачи токена необходимо использовать некоторые альтернативные методы.

1. Токен передачи параметров адреса ссылки.

Этот метод прост и понятен, но имеет более низкий уровень безопасности, поскольку токен будет виден в URL-адресе и его можно легко перехватить.

var ws = new WebSocket("ws://wss.tinywan.com?authorization="+ACCESS_TOKEN);
ws.onopen = function(evt) {
    ws.send("Идеи аутентификации, авторизации и реализации");
};

2. Отправить токен после того, как TCP установит соединение.

var ws = new WebSocket("ws://wss.tinywan.com");
ws.addEventListener('open', (event) => {
  ws.send('Authorization: Bearer ' + ACCESS_TOKEN);
});

3. Используйте подпротокол WebSocket (Sec-WebSocket-Protocol).

Используйте функцию подпротокола WebSocket для передачи токена. Этот подход требует поддержки на стороне сервера и правильной обработки подпротоколов.

const access_token = localStorage.getItem('access_token');
var ws = new WebSocket("ws://wss.tinywan.com",[access_token]);