websocket之四:WebSocket 的鉴权授权方案

最新推荐文章于 2025-07-16 17:41:27 发布
转载 最新推荐文章于 2025-07-16 17:41:27 发布 · 8.5k 阅读 · 2
文章标签:

#网络 #javascript #python #ViewUI

本文介绍了WebSocket的鉴权授权方法,包括在连接建立时检查HTTP请求头信息,连接过程中验证授权,以及通过颁发ticket进行授权。此外,还讨论了防止重放攻击的安全措施,并提供了基于node.js的ws库的代码实现示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

引子

WebSocket 是个好东西,为我们提供了便捷且实时的通讯能力。然而,对于 WebSocket 客户端的鉴权,协议的 RFC 是这么说的:

This protocol doesn’t prescribe any particular way that servers can
authenticate clients during the WebSocket handshake. The WebSocket
server can use any client authentication mechanism available to a
generic HTTP server, such as cookies, HTTP authentication, or TLS
authentication.

也就是说,鉴权这个事,得自己动手

协议原理

WebSocket 是独立的、创建在 TCP 上的协议。

为了创建Websocket连接,需要通过浏览器发出请求,之后服务器进行回应,这个过程通常称为“握手”。

实现步骤:

1. 发起请求的浏览器端,发出协商报文:

2. 服务器端响应101状态码(即切换到socket通讯方式),其报文:

3. 协议切换完成,双方使用Socket通讯

直观的协商及通讯过程:

方案

通过对协议实现的解读可知:在 HTTP 切换到 Socket 之前,没有什么好的机会进行鉴权,因为在这个时间节点,报文(或者说请求的Headers)必须遵守协议规范。但这不妨碍我们在协议切换完成后,进行鉴权授权:

鉴权
  1. 在连接建立时,检查连接的HTTP请求头信息(比如cookies中关于用户的身份信息)
  2. 在每次接收到消息时,检查连接是否已授权过,及授权是否过期
  3. 以上两点,只要答案为否,则服务端主动关闭socket连接
授权

服务端在连接建立时,颁发一个ticket给peer端,这个ticket可以包含但不限于:

  • peer端的uniqueId(可以是ip,userid,deviceid…任一种具备唯一性的键)
  • 过期时间的timestamp
  • token:由以上信息生成的哈希值,最好能加盐
安全性的补充说明

有朋友问:这一套机制如何防范重放攻击,私以为可以从以下几点出发:

  • 可以用这里提到的expires,保证过期,如果你愿意,甚至可以每次下发消息时都发送一个新的Ticket,只要上传消息对不上这个Ticket,就断开,这样非Original Peer是没法重放的
  • 可以结合redis,实现 ratelimit,防止高频刷接口,这个可以参考 express-rate-limit,原理很简单,不展开
  • 为防止中间人,最好使用wss(TLS)
代码实现

WebSocket连接处理,基于 node.js 的 ws 实现:

最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringBoot为WebSocket添加安全认证与授权功能
AI天才研究院
07-29 3411
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案
springboot集成socket.io通过jwt-token身份认证
qq_16334741的博客
02-15 3920
背景: 目前手上正在开发一个xxx中心的项目,服务端需要和客户端进行即时通讯以确定客户端是否在线。认证这块通过用户登录方式使用http通道颁发token令牌,socket通道则使用这个token令牌进行建立通信链接。需求是如果令牌是非法的则不允许建立链接。 开始集成: 服务端 1、引入socket.io坐标: <dependency> <groupId>com.corundumstudio.socketio</groupId&gt
session-based-websocket-authorization-for-nestjs
03-18
Nest.js的基于会话的WebSockets授权 这是我的的代码示例 手动安装 我假设您有节点,yarn / npm,postgres,redis 首先,您必须下载依赖项 npm i 然后检查配置 nano .env 并以观看模式开始 npm run start 或在生产模式下 npm run build npm run prod 码头工人 否则你可以使用docker docker-compose up --build 用法 您可以通过执行此CURL请求,使用 / My5up3r5tr0ngP @ 55w0rd登录到应用程序 curl -v \ -X POST http://localhost:3000/auth/login \ -d ' {"email": "trejgun@gmail.com", "password": "My5up3r5tr0ngP@55w0rd"} '
WebSocket 连接建立之前进行身份验证
Chihirozy的博客
07-12 2216
另外,根据“CWE-1385: WebSockets 中缺少来源验证”的弱点描述,在 WebSocket 握手期间验证“Origin”标头来保护类似跨域资源共享(CORS)的访问限制,也有助于增强安全性。同时,要确保 token、签名或其他用于身份验证的信息具有足够的复杂性和保密性,并在服务器端进行严格的验证逻辑,以防止身份验证被绕过或攻击。这些方法可以根据具体的应用场景和需求进行选择和实施。上述示例中的代码是一种常见的实现方式,你可能需要根据你的实际项目环境进行相应的调整。
WebSocket 防护的重要性及应对策略:从原理到实战
最新发布
2501_92388952的博客
07-16 1080
摘要:WebSocket的全双工通信特性在实时应用中优势显著,但也带来独特安全挑战。本文系统分析了WebSocket面临的主要安全风险:持久连接导致隐蔽攻击、协议转换漏洞、双向通信风险以及缺乏标准安全机制。针对未授权访问、注入攻击、洪水攻击和中间人攻击等典型威胁,提出分层防护策略:强化全生命周期身份验证(JWT校验+会话持续验证)、严格输入输出过滤(HTML编码+JSON Schema验证)、实施流量控制(IP限连+速率限制)以及强制TLS加密传输。通过Node.js代码示例展示了安全WebSocket聊天
Spring boot Websocket 添加授权校验(校验Header)
Riteny的博客
03-24 5380
继承ServerEndpointConfig.Configurator 并重写modifyHandshake方法,在这里拦截header中Authorization的内容,并将其设置到websocket session 中。获取之前设置入session中的Authorization信息,这里为了方便,仅仅只是校验了有没有传入,没有传入则代表校验失败。取消送入header内容Authorization时,连接先成功,后失败,则代表已经连接到服务器,但因为校验失败,被断开了连接。
Spring中的Websocket身份验证和授权
一起学习一起进步~
08-09 2497
如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。
netty-websocket token及统一请求和响应头(控制器)
weixin_43861630的博客
03-09 6470
netty websocket自定义控制器(握手前) ,自定义协议头 Sec-WebSocket-Protocol 增加Sec-WebSocket-Protocol总是连接不上
WebSocket实现方案
热门推荐
qq_38531706的博客
06-18 1万+
目录一、springboot+websocket搭建1.1.使用依赖1.2.WebSocketInterceptor拦截器1.3.MyWebSocketHandler处理器1.4.WebSocketConfig配置1.5.前端连接二、websocket方案2.1.url传参方案2.2.websocket头字段Sec-WebSocket-Protocol传参 WebSocket是一种在单个TCP连接上进行全双工通信的协议。它使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据
Spring WebSocket 应用,token,多个页面访问同一个websocket
weixin_39263573的博客
08-10 7444
Spring WebSocket 应用,token 解决了1:建立连接成功后立即被关闭; 2:一个用户token下 多个页面访问同一个websocket不成功的
SpringBoot+SpringSecurity+WebSocket
04-11
在IT行业中,SpringBoot、SpringSecurity和WebSocket是三个非常重要的技术组件,它们分别在应用程序开发、安全管理和实时通信方面发挥着关键作用。本项目结合这三个技术,构建了一个整合的示例,旨在展示如何在...
c语言socket,JWT应用之socket长连接
weixin_42353053的博客
05-20 442
引言在上篇文章中,我们介绍了什么是JWT(JSON Web Token) 以及他的简单应用,本文主要探究的是在IM系统中利用JWT解决Socket长连接身份安全认真的问题,主要参考了《用JWT技术解决IM系统Socket长连接的身份认证痛点》。要解决什么问题首先,整个通信过程如图下所示:系统通信过程整个认证过程步骤为:用户登陆App,App从服务端获取到SSO(即单点登陆)系统生成的token;当...
Spring+STOMP实现WebSocket广播订阅、限认证、一对一通讯
11-06
Spring+STOMP实现WebSocket广播订阅、限认证、一对一通讯
websocket进行Authorization验证
SmallGirlYang的博客
09-27 4165
websocket进行Authorization验证 在网上找了各种方法尝试去在websocket进行连接之前添加请求头无果后,找到一种方法,亲测有效。 var ws = new WebSocket("ws://username:password@127.0.0.1") 在new websocket()时已经创建了连接,暂未找到添加请求头的方法。 补充:在接口未加Authorization验证时,进行用户认证可以在open之后使用send方法进行验证,若不正确则关闭连接。 ...
WebSocket 实践:从入门到精通
m0_60259116的博客
04-12 2323
WebSocket 实践:从入门到精通
cookie、session、常见方式:token、HTTP、tcp、socket
liucaixin2016的博客
03-14 1686
http协议:简单、快捷、无连接、无状态。多在请求之间是没有关联的,独立的。 淘宝:登录,搜索商品,下订单,支付,评论,既然请求之间是没有关联,所以就要通过cookie建立会话 前后端常见的方式 1.HTTP Basic Authentication 2.session-cookie 3.Token验证 4.Oauth(开放) 一、Cookies 什么是cookie cookie是在服务器产生的存储在客户端的一小段文本信息,格式是字段,键值对 cookie的分类 会话级:保存内存,当浏览器关闭就丢
javascript可以输出Authonization
weixin_41465766的博客
08-20 141
我整理的一些关于【API】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/Hpqqk2JavaScript 中的 Authorization 输出 在当今的信息化时代,网络安全是一个至关重要的话题。在实现安全交互时,Authorization(授权)是一个关键概念。本文将介绍...
websocket安全
lakeyoursll的博客
11-30 3393
摘要        WebSocket为web应用和服务提供了双向实时通信信道,这篇论文概述了Websocket协议和这个API,并且描述了它提供的便利。本文的主要贡献是回顾和分析了与WS相关的安全问题,讨论了可能的解决方法以及部署WS的最佳实践。同样,这篇论文提出了在web浏览器中应该有一些安全的特性去余额宝用户的安全。浏览器供应商在提供安全特性方面充当着重要角色。WS至今还没有标准化,但是W
java websocket 认证_websocketWebSocket授权方案
weixin_39814960的博客
02-16 921
引子WebSocket是个好东西,为我们提供了便捷且实时的通讯能力。然而,对于 WebSocket 客户端的,协议的RFC是这么说的:This protocol doesn’t prescribe any particular way that servers canauthenticate clients during the WebSocket handshake. The WebS...
websocket后端认证解决方案
03-15
然而,在实际应用场景中,为了保护敏感数据和防止未授权访问,对 WebSocket 的后端进行认证是非常必要的。 以下是基于现有引用内容以及专业知识总结的 WebSocket 后端认证最佳实践: #### 1. 使用 Token ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值