WebSocket 的鉴权授权方案

www.ft12.com9年前 (2017-08-05)短网址资讯2204

引子

WebSocket 是个好东西，为我们提供了便捷且实时的通讯能力。然而，对于 WebSocket 客户端的鉴权，协议的 RFC 是这么说的：

This protocol doesn’t prescribe any particular way that servers can
authenticate clients during the WebSocket handshake. The WebSocket
server can use any client authentication mechanism available to a
generic HTTP server, such as cookies, HTTP authentication, or TLS
authentication.

也就是说，鉴权这个事，得自己动手

协议原理

WebSocket 是独立的、创建在 TCP 上的协议。

为了创建Websocket连接，需要通过浏览器发出请求，之后服务器进行回应，这个过程通常称为“握手”。

实现步骤：

1. 发起请求的浏览器端，发出协商报文：

1
2
3
4
5
6
7
8
GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Origin: http://example.com
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13

2. 服务器端响应101状态码（即切换到socket通讯方式），其报文：

1
2
3
4
5
HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo=
Sec-WebSocket-Protocol: chat

3. 协议切换完成，双方使用Socket通讯

直观的协商及通讯过程：

方案

通过对协议实现的解读可知：在 HTTP 切换到 Socket 之前，没有什么好的机会进行鉴权，因为在这个时间节点，报文（或者说请求的Headers）必须遵守协议规范。但这不妨碍我们在协议切换完成后，进行鉴权授权：

鉴权

在连接建立时，检查连接的HTTP请求头信息（比如cookies中关于用户的身份信息）
在每次接收到消息时，检查连接是否已授权过，及授权是否过期
以上两点，只要答案为否，则服务端主动关闭socket连接

授权

服务端在连接建立时，颁发一个ticket给peer端，这个ticket可以包含但不限于：

peer端的uniqueId（可以是ip，userid，deviceid…任一种具备唯一性的键）
过期时间的timestamp
token：由以上信息生成的哈希值，最好能加盐

安全性的补充说明

有朋友问：这一套机制如何防范重放攻击，私以为可以从以下几点出发：

可以用这里提到的expires，保证过期，如果你愿意，甚至可以每次下发消息时都发送一个新的Ticket，只要上传消息对不上这个Ticket，就断开，这样非Original Peer是没法重放的
可以结合redis，实现 ratelimit，防止高频刷接口，这个可以参考 express-rate-limit，原理很简单，不展开
为防止中间人，最好使用wss（TLS）

代码实现

WebSocket连接处理，基于 node.js 的 ws 实现：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
import url from 'url'
import WebSocket from 'ws'
import debug from 'debug'
import moment from 'moment'
import { Ticket } from '../models'
 
const debugInfo = debug('server:global')
 
// server 可以是 http server实例
const wss = new WebSocket.Server({ server })
wss.on('connection', async(ws) => {
  const location = url.parse(ws.upgradeReq.url, true)
  const cookie = ws.upgradeReq.cookie
  debugInfo('ws request from: ', location, 'cookies:', cookie)
 
  // issue & send ticket to the peer
  if (!checkIdentity(ws)) {
    terminate(ws)
  } else {
    const ticket = issueTicket(ws)
    await ticket.save()
    ws.send(ticket.pojo())
 
    ws.on('message', (message) => {
      if (!checkTicket(ws, message)) {
        terminate(ws)
      }
      debugInfo('received: %s', message)
    })
  }
})
 
function issueTicket(ws) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  return new Ticket(uniqueId)
}
 
async function checkTicket(ws, message) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  const record = await Ticket.get(uniqueId)
  const token = message.token
  return record
    && record.expires
    && record.token
    && record.token === token
    && moment(record.expires) >= moment()
}
 
// 身份检查，可填入具体检查逻辑
function checkIdentity(ws) {
  return true
}
 
function terminate(ws) {
  ws.send('BYE!')
  ws.close()
}

授权用到的 Ticket（这里存储用到的是knex + postgreSQL）：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import shortid from 'shortid'
import { utils } from '../components'
import { db } from './database'
 
export default class Ticket {
  constructor(uniqueId, expiresMinutes = 30) {
    const now = new Date()
    this.unique_id = uniqueId
    this.token = Ticket.generateToken(uniqueId, now)
    this.created = now
    this.expires = moment(now).add(expiresMinutes, 'minute')
  }
 
  pojo() {
    return {
      ...this
    }
  }
 
  async save() {
    return await db.from('tickets').insert(this.pojo()).returning('id')
  }
 
  static async get(uniqueId) {
    const result = await db
      .from('tickets')
      .select('id', 'unique_id', 'token', 'expires', 'created')
      .where('unique_id', uniqueId)
    const tickets = JSON.parse(JSON.stringify(result[0]))
    return tickets
  }
 
  static generateToken(uniqueId, now) {
    const part1 = uniqueId
    const part2 = now.getTime().toString()
    const part3 = shortid.generate()
    return utils.sha1(`${part1}:${part2}:${part3}`)
  }
}

utils 的哈希方法：

JavaScript
1
2
3
4
5
6
7
8
9
import crypto from 'crypto'
 
export default {
  sha1(str) {
    const shaAlog = crypto.createHash('sha1')
    shaAlog.update(str)
    return shaAlog.digest('hex')
  },
}

扫描二维码推送至手机访问。

本文链接：https://www.ft12.com/article_382.html

标签: WebSocket 鉴权

分享给朋友：

给干妈开5万月薪，美女CEO烧光5000万？刷爆朋友圈后剧情再反转

“改变世界的逆行者。”——真格基金创始合伙人徐小平曾在《从0到1》，这本被中国创投界奉为“圣经”的书中，写下序言对创业者给予这样的评价。但当创业者与投资人反目成仇，说起话来也是丝毫不留情面。在刚刚过去的周末，不少人的朋友圈就被空空狐创始人和…

从产品、市场、投资等，深入了解与分析共享充电宝

从4月开始，继共享单车之后，共享充电宝突然为科技创投圈所青睐。共享充电宝前景如何？本文作者从产品、市场、投资等多个维度对此进行了分析，共享充电宝的未来似乎并不那么扑朔迷离。忽如一夜春风来，千树万树梨花开。今年春天，共享充电宝火了。3月31日…

短网址在2017年端午节商家营销中的应用

一年一度的端午节即将来临，商家各种活动也在有条不紊的进行，比如粽子促销啦、节假日的游玩啦等等。这个时候的我们经常能收到各种营销活动的短信，如果你仔细观察就会发现这些短信中的链接都非常的短，我们暂且称之为短链接或者短网址。为什么商家都要用这种…

互联网巨头进军影视业：阿里、腾讯比亚马逊差在哪里

砍柴网 / 高洪浩 1982年，电影《星际迷航2》为世界影史贡献了第一个完全由计算机创造的景象：一个导弹击中星球，并使其爆炸。这个完全脱离现实而创造出的60秒钟画面，让好莱坞成为了“造梦...1982年，电影《星际迷航2…

“艺网”成为首个获千万级Pre-A轮融资的短网址电商

无论是拍卖、租赁、社区、还是电商，互联网艺术品途径终极目的都是撬动C端用户花费。但不可否认的是，艺术品买卖商场现在仍然比花费晋级慢半拍，用“艺网”创始人朱彤的话来说，“让艺术品走向千家万户最少还需要两年”。2015年建立的“艺网”已经完成了…

支付宝官方曝光“刷脸支付”系统刷脸的时代即将来临

昨天上午短网址资讯报道了支付宝“刷脸支付”功用曝光的音讯，疑似呈现了支付宝刷脸支付终端机，网友们纷繁表示“靠脸吃饭”时期要来了。如今支付宝官方向IT之家确认，这项“刷脸支付”功用行将上线。在视频中显现，一位测试者不用手机、不输入账号，仅靠刷…

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

给干妈开5万月薪，美女CEO烧光5000万？刷爆朋友圈后剧情再反转

从产品、市场、投资等，深入了解与分析共享充电宝

短网址在2017年端午节商家营销中的应用

互联网巨头进军影视业：阿里、腾讯比亚马逊差在哪里

“艺网”成为首个获千万级Pre-A轮融资的短网址电商

支付宝官方曝光“刷脸支付”系统刷脸的时代即将来临

发表评论

Copyright ft12.com All Rights Reserved.

Powered By Z-BlogPHP. Theme by TOYEAN.

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

给干妈开5万月薪，美女CEO烧光5000万？刷爆朋友圈后剧情再反转

从产品、市场、投资等，深入了解与分析共享充电宝

短网址在2017年端午节商家营销中的应用

互联网巨头进军影视业：阿里、腾讯比亚马逊差在哪里

“艺网”成为首个获千万级Pre-A轮融资的短网址电商

支付宝官方曝光“刷脸支付”系统 刷脸的时代即将来临

发表评论取消回复

Powered By Z-BlogPHP. Theme by TOYEAN.

支付宝官方曝光“刷脸支付”系统刷脸的时代即将来临

发表评论