当前位置：首页 > 短网址资讯 > 正文内容

WebSocket 的鉴权授权方案

www.ft12.com8年前 (2017-08-05)短网址资讯3138

引子

WebSocket 是个好东西，为我们提供了便捷且实时的通讯能力。然而，对于 WebSocket 客户端的鉴权，协议的 RFC 是这么说的：

This protocol doesn’t prescribe any particular way that servers can
authenticate clients during the WebSocket handshake. The WebSocket
server can use any client authentication mechanism available to a
generic HTTP server, such as cookies, HTTP authentication, or TLS
authentication.

也就是说，鉴权这个事，得自己动手

协议原理

WebSocket 是独立的、创建在 TCP 上的协议。

为了创建Websocket连接，需要通过浏览器发出请求，之后服务器进行回应，这个过程通常称为“握手”。

实现步骤：

1. 发起请求的浏览器端，发出协商报文：

1
2
3
4
5
6
7
8
GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Origin: http://example.com
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13

2. 服务器端响应101状态码（即切换到socket通讯方式），其报文：

1
2
3
4
5
HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo=
Sec-WebSocket-Protocol: chat

3. 协议切换完成，双方使用Socket通讯

直观的协商及通讯过程：

方案

通过对协议实现的解读可知：在 HTTP 切换到 Socket 之前，没有什么好的机会进行鉴权，因为在这个时间节点，报文（或者说请求的Headers）必须遵守协议规范。但这不妨碍我们在协议切换完成后，进行鉴权授权：

鉴权

在连接建立时，检查连接的HTTP请求头信息（比如cookies中关于用户的身份信息）
在每次接收到消息时，检查连接是否已授权过，及授权是否过期
以上两点，只要答案为否，则服务端主动关闭socket连接

授权

服务端在连接建立时，颁发一个ticket给peer端，这个ticket可以包含但不限于：

peer端的uniqueId（可以是ip，userid，deviceid…任一种具备唯一性的键）
过期时间的timestamp
token：由以上信息生成的哈希值，最好能加盐

安全性的补充说明

有朋友问：这一套机制如何防范重放攻击，私以为可以从以下几点出发：

可以用这里提到的expires，保证过期，如果你愿意，甚至可以每次下发消息时都发送一个新的Ticket，只要上传消息对不上这个Ticket，就断开，这样非Original Peer是没法重放的
可以结合redis，实现 ratelimit，防止高频刷接口，这个可以参考 express-rate-limit，原理很简单，不展开
为防止中间人，最好使用wss（TLS）

代码实现

WebSocket连接处理，基于 node.js 的 ws 实现：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
import url from 'url'
import WebSocket from 'ws'
import debug from 'debug'
import moment from 'moment'
import { Ticket } from '../models'
 
const debugInfo = debug('server:global')
 
// server 可以是 http server实例
const wss = new WebSocket.Server({ server })
wss.on('connection', async(ws) => {
  const location = url.parse(ws.upgradeReq.url, true)
  const cookie = ws.upgradeReq.cookie
  debugInfo('ws request from: ', location, 'cookies:', cookie)
 
  // issue & send ticket to the peer
  if (!checkIdentity(ws)) {
    terminate(ws)
  } else {
    const ticket = issueTicket(ws)
    await ticket.save()
    ws.send(ticket.pojo())
 
    ws.on('message', (message) => {
      if (!checkTicket(ws, message)) {
        terminate(ws)
      }
      debugInfo('received: %s', message)
    })
  }
})
 
function issueTicket(ws) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  return new Ticket(uniqueId)
}
 
async function checkTicket(ws, message) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  const record = await Ticket.get(uniqueId)
  const token = message.token
  return record
    && record.expires
    && record.token
    && record.token === token
    && moment(record.expires) >= moment()
}
 
// 身份检查，可填入具体检查逻辑
function checkIdentity(ws) {
  return true
}
 
function terminate(ws) {
  ws.send('BYE!')
  ws.close()
}

授权用到的 Ticket（这里存储用到的是knex + postgreSQL）：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import shortid from 'shortid'
import { utils } from '../components'
import { db } from './database'
 
export default class Ticket {
  constructor(uniqueId, expiresMinutes = 30) {
    const now = new Date()
    this.unique_id = uniqueId
    this.token = Ticket.generateToken(uniqueId, now)
    this.created = now
    this.expires = moment(now).add(expiresMinutes, 'minute')
  }
 
  pojo() {
    return {
      ...this
    }
  }
 
  async save() {
    return await db.from('tickets').insert(this.pojo()).returning('id')
  }
 
  static async get(uniqueId) {
    const result = await db
      .from('tickets')
      .select('id', 'unique_id', 'token', 'expires', 'created')
      .where('unique_id', uniqueId)
    const tickets = JSON.parse(JSON.stringify(result[0]))
    return tickets
  }
 
  static generateToken(uniqueId, now) {
    const part1 = uniqueId
    const part2 = now.getTime().toString()
    const part3 = shortid.generate()
    return utils.sha1(`${part1}:${part2}:${part3}`)
  }
}

utils 的哈希方法：

JavaScript
1
2
3
4
5
6
7
8
9
import crypto from 'crypto'
 
export default {
  sha1(str) {
    const shaAlog = crypto.createHash('sha1')
    shaAlog.update(str)
    return shaAlog.digest('hex')
  },
}

扫描二维码推送至手机访问。

本文链接：https://www.ft12.com/article_382.html

标签: WebSocket 鉴权

分享给朋友：

返回列表

上一篇：FT12短网址：未来汽车迭代的核心是大数据AI

下一篇：短网址源代码文件句柄泄露问题解决小记

短网址服务运营中遇到的一些难题

FT12短网址运营已经6年了，从2011年的某一天开始到今天2018年8月15日。在这么多的日日夜夜中，我们力争保证所有用户的短网址能稳定、快速、有效，这对于一个几千万级别的数据库来说真的不是一件很简单的事情。大概在2012年，短网址运营一...

飞牛网上线极速达业务大润发正式布局全渠道

2017年5月12日12点12分，飞牛网配送员小刘从大润发上海闸北店出发，历时12分钟，将12.00元的产品送至静安区江场三路12号。当客户汪先生承认收货时，飞牛急速达事务第一笔订单顺利完成。大润发飞牛网宣告，急速达正式上线，这也标志着大润...

摩拜单车发布“摩拜+”战略过半新用户来自微信小程序

5月19日消息，摩拜单车在北京举行发布会，正式宣布“摩拜+”开放平台战略，全面布局“生活圈”、“大数据”和“物联网”三大开放平台。中国联通(微博)、招商银行、中国银联、百度地图等8大品牌成为摩拜“生活圈”的首批战略合作伙伴。　　此外，摩拜单...

5年内90%的印度初创企业将面临倒闭原因是缺乏创新

近年来，印度已经开始被看做“全球第三大的新兴企业生态系统”，但成功的创新却似乎很缺乏。尽管印度初创公司的市场估值在过去4年里实现了大幅攀升，但最近由IBM商业价值研究院（IBV）与牛津经济学研究所（Oxford Economics）联合发布...

玩王者荣耀觉得辅助都是躺赢的，祝你们对手遇到我

我以前玩虚荣的时候，固定打游走的位置，靠着天使奥达基，经常被朋友夸。但也偶尔也被人嫌弃，我有个朋友，总认为辅助就是天生女孩子玩儿的，男人就该往前冲冲冲。他打虚荣的时候，玩豹哥扛着斧头就往前冲，每次打着打着人不见了，对兵矿有谜一样的热情，队伍...

英国和中国的人工智能医学应用已经改变未来

[ 短网址导读 ] AI医生只是人工智能应用于医疗保健领域的一个缩影。机器学习和大数据的快速商业化，已经助推人工智能来到医疗保健和生命健康领域的前沿位置，将注定会改变行业内疾病诊断和疾病治疗的方式。图片来自“123rf.com.c...

首页

短网址资讯

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

短网址服务运营中遇到的一些难题

飞牛网上线极速达业务大润发正式布局全渠道

摩拜单车发布“摩拜+”战略过半新用户来自微信小程序

5年内90%的印度初创企业将面临倒闭原因是缺乏创新

玩王者荣耀觉得辅助都是躺赢的，祝你们对手遇到我

英国和中国的人工智能医学应用已经改变未来

发表评论

Copyright ft12.com All Rights Reserved.

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

发表评论取消回复

发表评论