当前位置：首页 > 短网址资讯 > 正文内容

WebSocket 的鉴权授权方案

www.ft12.com8年前 (2017-08-05)短网址资讯3105

引子

WebSocket 是个好东西，为我们提供了便捷且实时的通讯能力。然而，对于 WebSocket 客户端的鉴权，协议的 RFC 是这么说的：

This protocol doesn’t prescribe any particular way that servers can
authenticate clients during the WebSocket handshake. The WebSocket
server can use any client authentication mechanism available to a
generic HTTP server, such as cookies, HTTP authentication, or TLS
authentication.

也就是说，鉴权这个事，得自己动手

协议原理

WebSocket 是独立的、创建在 TCP 上的协议。

为了创建Websocket连接，需要通过浏览器发出请求，之后服务器进行回应，这个过程通常称为“握手”。

实现步骤：

1. 发起请求的浏览器端，发出协商报文：

1
2
3
4
5
6
7
8
GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Origin: http://example.com
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13

2. 服务器端响应101状态码（即切换到socket通讯方式），其报文：

1
2
3
4
5
HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo=
Sec-WebSocket-Protocol: chat

3. 协议切换完成，双方使用Socket通讯

直观的协商及通讯过程：

方案

通过对协议实现的解读可知：在 HTTP 切换到 Socket 之前，没有什么好的机会进行鉴权，因为在这个时间节点，报文（或者说请求的Headers）必须遵守协议规范。但这不妨碍我们在协议切换完成后，进行鉴权授权：

鉴权

在连接建立时，检查连接的HTTP请求头信息（比如cookies中关于用户的身份信息）
在每次接收到消息时，检查连接是否已授权过，及授权是否过期
以上两点，只要答案为否，则服务端主动关闭socket连接

授权

服务端在连接建立时，颁发一个ticket给peer端，这个ticket可以包含但不限于：

peer端的uniqueId（可以是ip，userid，deviceid…任一种具备唯一性的键）
过期时间的timestamp
token：由以上信息生成的哈希值，最好能加盐

安全性的补充说明

有朋友问：这一套机制如何防范重放攻击，私以为可以从以下几点出发：

可以用这里提到的expires，保证过期，如果你愿意，甚至可以每次下发消息时都发送一个新的Ticket，只要上传消息对不上这个Ticket，就断开，这样非Original Peer是没法重放的
可以结合redis，实现 ratelimit，防止高频刷接口，这个可以参考 express-rate-limit，原理很简单，不展开
为防止中间人，最好使用wss（TLS）

代码实现

WebSocket连接处理，基于 node.js 的 ws 实现：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
import url from 'url'
import WebSocket from 'ws'
import debug from 'debug'
import moment from 'moment'
import { Ticket } from '../models'
 
const debugInfo = debug('server:global')
 
// server 可以是 http server实例
const wss = new WebSocket.Server({ server })
wss.on('connection', async(ws) => {
  const location = url.parse(ws.upgradeReq.url, true)
  const cookie = ws.upgradeReq.cookie
  debugInfo('ws request from: ', location, 'cookies:', cookie)
 
  // issue & send ticket to the peer
  if (!checkIdentity(ws)) {
    terminate(ws)
  } else {
    const ticket = issueTicket(ws)
    await ticket.save()
    ws.send(ticket.pojo())
 
    ws.on('message', (message) => {
      if (!checkTicket(ws, message)) {
        terminate(ws)
      }
      debugInfo('received: %s', message)
    })
  }
})
 
function issueTicket(ws) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  return new Ticket(uniqueId)
}
 
async function checkTicket(ws, message) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  const record = await Ticket.get(uniqueId)
  const token = message.token
  return record
    && record.expires
    && record.token
    && record.token === token
    && moment(record.expires) >= moment()
}
 
// 身份检查，可填入具体检查逻辑
function checkIdentity(ws) {
  return true
}
 
function terminate(ws) {
  ws.send('BYE!')
  ws.close()
}

授权用到的 Ticket（这里存储用到的是knex + postgreSQL）：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import shortid from 'shortid'
import { utils } from '../components'
import { db } from './database'
 
export default class Ticket {
  constructor(uniqueId, expiresMinutes = 30) {
    const now = new Date()
    this.unique_id = uniqueId
    this.token = Ticket.generateToken(uniqueId, now)
    this.created = now
    this.expires = moment(now).add(expiresMinutes, 'minute')
  }
 
  pojo() {
    return {
      ...this
    }
  }
 
  async save() {
    return await db.from('tickets').insert(this.pojo()).returning('id')
  }
 
  static async get(uniqueId) {
    const result = await db
      .from('tickets')
      .select('id', 'unique_id', 'token', 'expires', 'created')
      .where('unique_id', uniqueId)
    const tickets = JSON.parse(JSON.stringify(result[0]))
    return tickets
  }
 
  static generateToken(uniqueId, now) {
    const part1 = uniqueId
    const part2 = now.getTime().toString()
    const part3 = shortid.generate()
    return utils.sha1(`${part1}:${part2}:${part3}`)
  }
}

utils 的哈希方法：

JavaScript
1
2
3
4
5
6
7
8
9
import crypto from 'crypto'
 
export default {
  sha1(str) {
    const shaAlog = crypto.createHash('sha1')
    shaAlog.update(str)
    return shaAlog.digest('hex')
  },
}

扫描二维码推送至手机访问。

本文链接：https://www.ft12.com/article_382.html

标签: WebSocket 鉴权

分享给朋友：

返回列表

上一篇：FT12短网址：未来汽车迭代的核心是大数据AI

下一篇：短网址源代码文件句柄泄露问题解决小记

月活超美国人口十分之一，各大科技巨头纷纷布局，智能音箱背后有何门道？

撰稿｜FT12短网址编辑｜短链接未来生活一定是智能的，科幻小说里曾设想过的场景正一步步变成现实。在这个不可逆转的技术发展趋势里，智能音箱扮演的会是怎样的角色？现阶段的智能音箱及其背后的核心技术发展到了哪一步？ 1 写...

不用登陆新浪微博就能t.cn短链接在线生成

t.cn短链接大家应该都很熟悉，很多网友在日常中也经常用到。但是，要生成t.cn短网址有点小麻烦，那就是必须要先登陆微博，然后在微博上发布长网址，他才会生成一个对应的短网址上面这个流程非常的麻烦，那么有什么更简单的方法来生成新浪...

干货：创业公司没钱没资源怎么做品牌推广？

通常情况下，公司在刚刚起步时，创业者们的首要任务即是做品牌宣扬，让更多的人重视公司、重视自个的品牌是这个期间的首要作业方针。但比较于现已安稳下来的公司，创业公司在资金、人力、客户源等根底资本上都还不充足，在推行的过程中也极简略呈现后劲不足的...

麦当劳惊曝丑闻刷爆全球！你一定没想到，我们吃的冰淇淋竟然.......

近几年，麦当劳和肯德基的食品丑闻，和他们总是毗邻相开的店面一样，此起彼伏，接二连三。而最近，麦当劳又摊上事儿了……具体什么事呢？故事还要从一位，在麦当劳打工的小哥说起……他叫Nick，18岁的他在麦当劳，路易斯安那州拉普拉斯店，找了一份后厨...

网站防御cc攻击的方法和突破技巧！

最近FT12短网址经常遭到CC攻击，早在前两个月的时间，我的短链接遭到CC攻击，大概流量在7G左右，7G的CC流量攻击算是非常大的了，那么我们如何防御CC攻击呢，另外CC攻击又是怎么一回事呢？CC攻击是什么CC攻击是通过大量的IP同时访问一...

人工智能识别性取向：披着技术外衣的面相学？

[ FT12短网址 ] 近期，一份来自斯坦福大学的研讨宣称，他们的算法能够经过对照片中人物的表情、动作和神态停止剖析，推断出人物的性取向。但批判家却以为，这只是披上了人工智能外衣的伪科学和面相学。图片来自“123rf.com.cn...

首页

短网址资讯

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

月活超美国人口十分之一，各大科技巨头纷纷布局，智能音箱背后有何门道？

不用登陆新浪微博就能t.cn短链接在线生成

干货：创业公司没钱没资源怎么做品牌推广？

麦当劳惊曝丑闻刷爆全球！你一定没想到，我们吃的冰淇淋竟然.......

网站防御cc攻击的方法和突破技巧！

人工智能识别性取向：披着技术外衣的面相学？

发表评论

Copyright ft12.com All Rights Reserved.

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

发表评论取消回复

发表评论