websocket之四:WebSocket 的鉴权授权方案

最新推荐文章于 2025-06-02 09:16:53 发布
转载 最新推荐文章于 2025-06-02 09:16:53 发布 · 8.5k 阅读 · 2
文章标签:

#网络 #javascript #python #ViewUI

本文介绍了WebSocket的鉴权授权方法,包括在连接建立时检查HTTP请求头信息,连接过程中验证授权,以及通过颁发ticket进行授权。此外,还讨论了防止重放攻击的安全措施,并提供了基于node.js的ws库的代码实现示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

引子

WebSocket 是个好东西,为我们提供了便捷且实时的通讯能力。然而,对于 WebSocket 客户端的鉴权,协议的 RFC 是这么说的:

This protocol doesn’t prescribe any particular way that servers can
authenticate clients during the WebSocket handshake. The WebSocket
server can use any client authentication mechanism available to a
generic HTTP server, such as cookies, HTTP authentication, or TLS
authentication.

也就是说,鉴权这个事,得自己动手

协议原理

WebSocket 是独立的、创建在 TCP 上的协议。

为了创建Websocket连接,需要通过浏览器发出请求,之后服务器进行回应,这个过程通常称为“握手”。

实现步骤:

1. 发起请求的浏览器端,发出协商报文:

2. 服务器端响应101状态码(即切换到socket通讯方式),其报文:

3. 协议切换完成,双方使用Socket通讯

直观的协商及通讯过程:

方案

通过对协议实现的解读可知:在 HTTP 切换到 Socket 之前,没有什么好的机会进行鉴权,因为在这个时间节点,报文(或者说请求的Headers)必须遵守协议规范。但这不妨碍我们在协议切换完成后,进行鉴权授权:

鉴权
  1. 在连接建立时,检查连接的HTTP请求头信息(比如cookies中关于用户的身份信息)
  2. 在每次接收到消息时,检查连接是否已授权过,及授权是否过期
  3. 以上两点,只要答案为否,则服务端主动关闭socket连接
授权

服务端在连接建立时,颁发一个ticket给peer端,这个ticket可以包含但不限于:

  • peer端的uniqueId(可以是ip,userid,deviceid…任一种具备唯一性的键)
  • 过期时间的timestamp
  • token:由以上信息生成的哈希值,最好能加盐
安全性的补充说明

有朋友问:这一套机制如何防范重放攻击,私以为可以从以下几点出发:

  • 可以用这里提到的expires,保证过期,如果你愿意,甚至可以每次下发消息时都发送一个新的Ticket,只要上传消息对不上这个Ticket,就断开,这样非Original Peer是没法重放的
  • 可以结合redis,实现 ratelimit,防止高频刷接口,这个可以参考 express-rate-limit,原理很简单,不展开
  • 为防止中间人,最好使用wss(TLS)
代码实现

WebSocket连接处理,基于 node.js 的 ws 实现:

最低0.47元/天 解锁文章

200万优质内容无限畅学
WebSocket 连接建立之前进行身份验证
Chihirozy的博客
07-12 2204
另外,根据“CWE-1385: WebSockets 中缺少来源验证”的弱点描述,在 WebSocket 握手期间验证“Origin”标头来保护类似跨域资源共享(CORS)的访问限制,也有助于增强安全性。同时,要确保 token、签名或其他用于身份验证的信息具有足够的复杂性和保密性,并在服务器端进行严格的验证逻辑,以防止身份验证被绕过或攻击。这些方法可以根据具体的应用场景和需求进行选择和实施。上述示例中的代码是一种常见的实现方式,你可能需要根据你的实际项目环境进行相应的调整。
netty-websocket token及统一请求和响应头(控制器)
weixin_43861630的博客
03-09 6459
netty websocket自定义控制器(握手前) ,自定义协议头 Sec-WebSocket-Protocol 增加Sec-WebSocket-Protocol总是连接不上
session-based-websocket-authorization-for-nestjs
03-18
Nest.js的基于会话的WebSockets授权 这是我的的代码示例 手动安装 我假设您有节点,yarn / npm,postgres,redis 首先,您必须下载依赖项 npm i 然后检查配置 nano .env 并以观看模式开始 npm run start 或在生产模式下 npm run build npm run prod 码头工人 否则你可以使用docker docker-compose up --build 用法 您可以通过执行此CURL请求,使用 / My5up3r5tr0ngP @ 55w0rd登录到应用程序 curl -v \ -X POST http://localhost:3000/auth/login \ -d ' {"email": "trejgun@gmail.com", "password": "My5up3r5tr0ngP@55w0rd"} '
Apache APISIX WebSocket 认证配置完全指南
最新发布
gitblog_00420的博客
06-02 443
Apache APISIX WebSocket 认证配置完全指南 前言 在现代Web应用中,WebSocket协议因其全双工通信能力被广泛应用于实时消息推送、在线聊天等场景。然而,WebSocket协议本身并不提供认证机制,这给应用安全带来了挑战。本文将详细介绍如何使用Apache APISIX为WebSocket连接配置认证功能。 WebSocket协议基础 WebSocket协议通过特殊的HT...
Spring boot Websocket 添加授权校验(校验Header)
Riteny的博客
03-24 5359
继承ServerEndpointConfig.Configurator 并重写modifyHandshake方法,在这里拦截header中Authorization的内容,并将其设置到websocket session 中。获取之前设置入session中的Authorization信息,这里为了方便,仅仅只是校验了有没有传入,没有传入则代表校验失败。取消送入header内容Authorization时,连接先成功,后失败,则代表已经连接到服务器,但因为校验失败,被断开了连接。
Spring中的Websocket身份验证和授权
一起学习一起进步~
08-09 2492
如果UsernamePasswordAuthenticationToken构建没有通过GrantedAuthority,则身份验证将失败,因为没有授予限的构造函数自动设置authenticated = false 这是一个重要的细节,在 spring-security 中没有记录。接着需要创建一个拦截器,它将设置“simpUser”标头或在 CONNECT 消息上抛出“AuthenticationException”。请注意:这@Order是至关重要的,它允许我们的拦截器首先在安全链中注册。
c语言socket,JWT应用之socket长连接
weixin_42353053的博客
05-20 441
引言在上篇文章中,我们介绍了什么是JWT(JSON Web Token) 以及他的简单应用,本文主要探究的是在IM系统中利用JWT解决Socket长连接身份安全认真的问题,主要参考了《用JWT技术解决IM系统Socket长连接的身份认证痛点》。要解决什么问题首先,整个通信过程如图下所示:系统通信过程整个认证过程步骤为:用户登陆App,App从服务端获取到SSO(即单点登陆)系统生成的token;当...
websocket进行Authorization验证
SmallGirlYang的博客
09-27 4162
websocket进行Authorization验证 在网上找了各种方法尝试去在websocket进行连接之前添加请求头无果后,找到一种方法,亲测有效。 var ws = new WebSocket("ws://username:password@127.0.0.1") 在new websocket()时已经创建了连接,暂未找到添加请求头的方法。 补充:在接口未加Authorization验证时,进行用户认证可以在open之后使用send方法进行验证,若不正确则关闭连接。 ...
springboot集成socket.io通过jwt-token身份认证
qq_16334741的博客
02-15 3919
背景: 目前手上正在开发一个xxx中心的项目,服务端需要和客户端进行即时通讯以确定客户端是否在线。认证这块通过用户登录方式使用http通道颁发token令牌,socket通道则使用这个token令牌进行建立通信链接。需求是如果令牌是非法的则不允许建立链接。 开始集成: 服务端 1、引入socket.io坐标: <dependency> <groupId>com.corundumstudio.socketio</groupId&gt
WebSocket 实践:从入门到精通
m0_60259116的博客
04-12 2315
WebSocket 实践:从入门到精通
cookie、session、常见方式:token、HTTP、tcp、socket
liucaixin2016的博客
03-14 1681
http协议:简单、快捷、无连接、无状态。多在请求之间是没有关联的,独立的。 淘宝:登录,搜索商品,下订单,支付,评论,既然请求之间是没有关联,所以就要通过cookie建立会话 前后端常见的方式 1.HTTP Basic Authentication 2.session-cookie 3.Token验证 4.Oauth(开放) 一、Cookies 什么是cookie cookie是在服务器产生的存储在客户端的一小段文本信息,格式是字段,键值对 cookie的分类 会话级:保存内存,当浏览器关闭就丢
Spring+STOMP实现WebSocket广播订阅、限认证、一对一通讯
11-06
Spring+STOMP实现WebSocket广播订阅、限认证、一对一通讯
javascript可以输出Authonization
weixin_41465766的博客
08-20 141
我整理的一些关于【API】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/Hpqqk2JavaScript 中的 Authorization 输出 在当今的信息化时代,网络安全是一个至关重要的话题。在实现安全交互时,Authorization(授权)是一个关键概念。本文将介绍...
websocket安全
lakeyoursll的博客
11-30 3393
摘要        WebSocket为web应用和服务提供了双向实时通信信道,这篇论文概述了Websocket协议和这个API,并且描述了它提供的便利。本文的主要贡献是回顾和分析了与WS相关的安全问题,讨论了可能的解决方法以及部署WS的最佳实践。同样,这篇论文提出了在web浏览器中应该有一些安全的特性去余额宝用户的安全。浏览器供应商在提供安全特性方面充当着重要角色。WS至今还没有标准化,但是W
java websocket 认证_websocketWebSocket授权方案
weixin_39814960的博客
02-16 914
引子WebSocket是个好东西,为我们提供了便捷且实时的通讯能力。然而,对于 WebSocket 客户端的,协议的RFC是这么说的:This protocol doesn’t prescribe any particular way that servers canauthenticate clients during the WebSocket handshake. The WebS...
WebSocket 策略与技巧详解
LiamHong_的博客
11-24 3690
通过本文的介绍,你应该对WebSocket有了更清晰的认识。不同的方式各有优劣,你可以根据具体情况选择最适合自己项目的方式。在保障通信安全的同时,也能提供更好的用户体验。
WebSocket简介
记录美好生活
03-20 521
WebSocket 协议此文仅作为 RFC6455 的学习笔记。篇幅太长超过了简书的单篇最大长度,故分为两篇,此篇记录 1~4 节,其余见 WebSocket 协议 5~10 节;1.1 背景知识由于历史原因,在创建一个具有双向通信机制的 web 应用程序时,需要利用到 HTTP 轮询的方式。围绕轮询产生了 “短轮询” 和 “长轮询”。短轮询浏览器赋予了脚本网络通信的编程接口 XMLHttpReq...
pythonwebsocket使用,webSocket使用python运行的时候
weixin_36271649的博客
03-26 751
通过菜鸟教程查看Html5 webSocket系统:Windows菜鸟教程(runoob.com)function WebSocketTest(){if ("WebSocket" in window){alert("您的浏览器支持 WebSocket!");// 打开一个 web socketvar ws = new WebSocket("ws://localhost:9998/echo");ws...
websocket后端认证解决方案
03-15
### WebSocket 后端认证的最佳实践 WebSocket 是一种全双工通信协议,允许客户端和服务端之间保持持久连接并实时交换消息。然而,在实际应用场景中,为了保护敏感数据和防止未授权访问,对 WebSocket 的后端进行认证是非常必要的。 以下是基于现有引用内容以及专业知识总结的 WebSocket 后端认证最佳实践: #### 1. 使用 Token 进行身份验证 Token 是目前最常用的机制之一。可以通过在握手阶段传递 Token 来完成用户的合法性校验。具体实现如下: - 客户端在建立 WebSocket 握手请求时,将携带的身份凭证(如 JWT 或 OAuth Token)作为 HTTP 请求头的一部分发送给服务器。 - 在 `beforeHandshake` 方法中解析该 Token 并验证其有效性[^3]。 ```java @Override public void beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) throws Exception { if (request instanceof ServletServerHttpRequest) { ServletServerHttpRequest servletRequest = (ServletServerHttpRequest) request; String token = servletRequest.getServletRequest().getParameter("token"); // 验证 Token 是否有效 boolean isValid = validateToken(token); if (!isValid) { throw new RuntimeException("Invalid or missing token."); } } } ``` #### 2. 设置特定路径为匿名访问 对于某些不需要严格限控制的功能模块,可以选择将其设置为匿名访问。例如 Ruoyi Vue 分离版的做法就是在 SecurityConfig 中配置 `/websocket/**` 地址为匿名访问[^2]。这种方式适用于公开接口或者调试环境中的 WebSocket 测试工具[^1]。 #### 3. 单点登录支持 如果项目涉及多系统间的协同工作,则可能需要用到 SSO(Single Sign-On)。此时可以在 admin 模块下新增 LoginSsoController 控制器来处理跨域单点登录逻辑[^4]。这样即使用户切换不同子系统也能维持一致性的会话状态而无需重复登录操作。 #### 4. 数据加密传输保障安全性 除了基本的外还应考虑采用 SSL/TLS 加密整个通讯过程以进一步提升系统的安全等级。确保所有的 WebSocket 连接都是通过 wss:// 方式发起从而避免中间人攻击等问题发生。 --- ### 示例代码片段展示如何集成上述要点至 Spring Boot 应用程序当中: ```java @Configuration @EnableWebSocketMessageBroker public class WebSocketConfig implements WebSocketMessageBrokerConfigurer { @Override public void configureClientInboundChannel(ChannelRegistration registration) { registration.interceptors(new HandshakeInterceptor()); } } @Component public class HandshakeInterceptor extends HttpSessionHandshakeInterceptor { private final JwtUtil jwtUtil; public HandshakeInterceptor(JwtUtil jwtUtil){ this.jwtUtil=jwtUtil; } @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) throws Exception { if(request instanceof ServletServerHttpRequest){ ServletServerHttpRequest serverHttpRequest=(ServletServerHttpRequest)request; MultiValueMap<String,String> params=serverHttpRequest.getServletRequest().getParameterMap(); List<String> tokens=params.getOrDefault("access_token",Collections.emptyList()); if(tokens.isEmpty()){ return false;//拒绝无令牌的请求 }else{ try{ claimsSet=jwtUtil.parseJwt(tokens.get(0)); attributes.put("claims_set",claimsSet); }catch(Exception e){ return false; //非法令牌也直接返回false } } } return super.beforeHandshake(request,response,wsHandler,attributes); } } ``` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值