基于Token认证的WebSocket连接

最新推荐文章于 2025-05-12 10:48:15 发布
最新推荐文章于 2025-05-12 10:48:15 发布
阅读量1.4w 收藏 12
点赞数
文章标签: 网络 java json
原文链接:https://yq.aliyun.com/articles/229057
版权
WebSocket全双工通信在复杂应用中提升交互体验,但安全问题也随之而来。本文讨论了基于cookie和Token的认证方式,主张使用Token以降低耦合性、减少session管理并提高适用性。介绍了使用jsonwebtoken和socketio-jwt库在服务端和客户端实现基于Token的JWT认证,以确保安全的WebSocket连接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概要

WebSocket作为一种支持浏览器与服务器全双工通信的协议,对于复杂的前端应用,在交互体验和性能的改进上,是一种非常合适的解决方案。随着WebSocket更多地应用于生产开发,安全也成为了必须要关注的问题。

关于安全有一个可能的误区是:如果用户通过了web应用的认证(登录了系统),建立的WebSocket连接,就也是经过认证的。实际上,这是两个完全不同的通道,socket连接需要建立自己的认证体系。

认证的方式(cookie or Token)

有两种方式可以解决认证的问题,一种是传统的基于cookie,一种是基于Token的。

两种方式比较起来,个人更倾向于基于Token的方案。主要是以下几方面考虑:

  • 耦合性。基于cookie,意味着,应用本身的认证和提供WebSocket的服务,得是同一套session cookie的管理机制。有的时候,可能这也不是大的问题,但是以目前我们工程中的大部分场景看,应用服务是基于java的一些web framework,而socket由Socket.IO来提供。让两个功能的系统协调一种共享的认证方式,就不那么容易。所以,需要解除这种对应用服务的依赖。
  • session的管理。同时,如果WebSocket服务自己来维护基于cookie的认证,就需要借助一些存储(DB、Redis)来存储session。作为一个纯为解决通信连接的服务,这一块也是不希望来维护的。
  • 适用性。另外,cookie也会在有些设备或浏览器设置中被禁用,在这种
最低0.47元/天 解锁文章
SpringBoot为WebSocket添加安全认证与授权功能
AI天才研究院
07-29 3330
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
spring boot+vue+websockettoken身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
Springboot实现websocket连接前jwt验证token
weixin_42966151的博客
09-27 7193
二、因为springboot的websocket连接时不会显示header信息,也就无法拿到cookie中的token信息,需要在连接前处理,新建一个WebSocketConfig.class,在连接前做一个jwt的token验证,并获取用户的账号信息添加到session中。(关于jwt的token验证工具类我这里就不详细讲了),用户连接服务器weksocket前,需经过jwt的token验证(token中包含账号信息),验证合法后,才可以于服务器正常交互。一、配置依赖(pom.xml)
WebSocket (连接前验证token)
最新发布
君昭
05-12 720
用户连接服务器weksocket前,需经过jwt的token验证(token中包含账号信息),验证合法后,才可以于服务器正常交互。
JavaScript】在websocket里面添加Token
热门推荐
maomaolaoshi的博客
09-10 3万+
websocket协议在握手阶段借用了HTTP的协议,但是在JavaScript websocketAPI中并没有修改请求头的方法。 var token='dcvuahsdnfajw12kjfasfsdf34' send发送参数 var ws = new WebSocket("ws://" + url + "/webSocketServer"); ws.onopen=functio...
websocket携带token
wanghik的博客
11-18 683
【代码】websocket携带token
websocket jwt token
shelutai的博客
03-20 4064
websocket中,目前未提供修改请求头字段的方法,不过可以借助于“Sec-WebSocket-Protocol”,将token放入请求头中,后端收到请求后,从请求头中取得token做校验。另外需要注意的是,在响应头上添加Sec-Websocket-Protocol,如下是在grilla/websocket响应中设置Sec-Websocket-Protocol的方式。后端接收到请求后,从header中取出“Sec-WebSocket-Protocol”,做校验。在后面加上[这里是token内容]。
如何在websocket连接握手的同时完成对用户token的解析?
qq_73609596的博客
01-25 1182
设想这样一个场景,用户在非首次连接的时候,已经携带了我们发放的token,我们应该如何在用户连接的同时完成对用户的身份检验。在以往的场景中,我们登录的流程如下,先建立websocket连接,然后携带token向服务端进行身份认证。我们能不能做到如下图所示的流程,建立websocket连接的时候就带上token,从而完成对用户的身份认证
SpringBoot+Vue+WebSocket+Token验证
weixin_44012423的博客
02-04 1529
很多帖子都么有这个,人家不加这个也能运行,有些问题就是如此其妙!使用封装好的框架,好用是好用,遇到问题,不了解底层逻辑,头发薅光都解决不了。因为项目一开始使用了token,上面的ws协议并不能像http一样携带token,我在引入token时,客户端一连接就立即断开。最后,引入token验证之后就连接失败这个问题,卡了我两天,期间尝试了各种方式拦截token都没有成功。2. 服务器打印(不要纠结会话id,已经是第N次连接了)这里最主要的就是在response添加 这个。到此,一个简单的案例已经实现了。
WebSocket 连接建立之前进行身份验证
Chihirozy的博客
07-12 2086
另外,根据“CWE-1385: WebSockets 中缺少来源验证”的弱点描述,在 WebSocket 握手期间验证“Origin”标头来保护类似跨域资源共享(CORS)的访问限制,也有助于增强安全性。同时,要确保 token、签名或其他用于身份验证的信息具有足够的复杂性和保密性,并在服务器端进行严格的验证逻辑,以防止身份验证被绕过或攻击。这些方法可以根据具体的应用场景和需求进行选择和实施。上述示例中的代码是一种常见的实现方式,你可能需要根据你的实际项目环境进行相应的调整。
Spring WebSocket 应用,鉴权token,多个页面访问同一个websocket
weixin_39263573的博客
08-10 7414
Spring WebSocket 应用,鉴权token 解决了1:建立连接成功后立即被关闭; 2:一个用户token下 多个页面访问同一个websocket不成功的
webSocket,自动重连,带心跳,携带token
weixin_49722066的博客
06-14 598
新建socket.js文件。这是我目前正在使用的方式。
前端在WebSocket中加入Token
weixin_47793340的博客
02-06 7906
WebSocket通信中加入Token主要是为了实现身份验证和授权,确保只有经过验证的用户可以建立WebSocket连接。由于WebSocket API本身不支持直接在连接时设置HTTP头部,因此需要采用一些变通的方法来传递Token
连接websocket,并携带token
ZYJ_0215的博客
08-20 1316
在实际对接的时候需要传入token在头部中,给后端的好哥们。
在vue项目中webSocket封装(传token
宝子的博客
12-16 3643
在中,目前未提供修改请求头字段的方法,参考其他的一些文章,依照他们的写法依然未能实现传递token,所有我和后端另辟蹊径,把token传在路径里面。
SpringBoot、Spring-security、WebSocket整合,WebSockettoken加入Spring-security认证机制
qq_37470526的博客
08-06 6917
背景 项目里边有个模块首页会显示一些汇总信息,有部分信息需要进行实时更新,因此想到使用WebSocket进行长连接,进入后便链接后台,然后后台根据需求(定时、数据有更新)给前台反馈数据,从而达到一次链接,一直通信的功能。避免了前端轮询调用带来的资源消耗。 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、
oauth2关于websocket携带token的探讨
weixin_43277309的博客
02-25 6092
oauth2关于websocket携带token的探讨一、简述二、关于websocket请求携带token2.1、通过websocket下的子协议来实现2.2、资源服务器放开请求路径。2.3、请求参数上携带access_token=token2.4、请求websocket的请求头中携带sec-websocket-protocol=Bearer +token三、后续有时间再补充 一、简述 前段时间,公司有个技术需求是做一个实时在线沟通功能,在遵循**合适、简单、演化**的原则下,我决定采用websocket
SpringSecurity整合WebSocket并携带token
oNew_Lifeo的博客
04-07 1万+
导入SpringSecurity的SpringBoot项目,在连接WebSocket时进行token校验
Websockettoken发起连接
华灯初上
08-04 1万+
今天碰到一个需要在连接websocket服务时提交token的业务场景,无奈websocket不支持同时提交header,翻阅官方文档时候发现了可以携带一个自定义协议,我们可以通过将token存放在自定义协议中达到提交token的目的。 根据文档,我们调整下代码: //请务必注意,协议提交的是一个字符串数组类型。 var socket = new WebSocket('wss://url',['用户的token']); 好,这样我们的前端改造就完成了,简单吧~。 接下来就是后端的取值.
springboot websocket token身份认证
07-15
创建一个Token认证过滤器,将其配置为在WebSocket连接建立之前进行身份认证。 3. 在WebSocket处理程序中验证token:在WebSocket处理程序的onOpen方法中,可以获取到WebSocket连接的会话对象。可以使用这个会话对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值