当前位置：首页 > 短网址资讯 > 正文内容

WebSocket 的鉴权授权方案

www.ft12.com8年前 (2017-08-05)短网址资讯3051

引子

WebSocket 是个好东西，为我们提供了便捷且实时的通讯能力。然而，对于 WebSocket 客户端的鉴权，协议的 RFC 是这么说的：

This protocol doesn’t prescribe any particular way that servers can
authenticate clients during the WebSocket handshake. The WebSocket
server can use any client authentication mechanism available to a
generic HTTP server, such as cookies, HTTP authentication, or TLS
authentication.

也就是说，鉴权这个事，得自己动手

协议原理

WebSocket 是独立的、创建在 TCP 上的协议。

为了创建Websocket连接，需要通过浏览器发出请求，之后服务器进行回应，这个过程通常称为“握手”。

实现步骤：

1. 发起请求的浏览器端，发出协商报文：

1
2
3
4
5
6
7
8
GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Origin: http://example.com
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13

2. 服务器端响应101状态码（即切换到socket通讯方式），其报文：

1
2
3
4
5
HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo=
Sec-WebSocket-Protocol: chat

3. 协议切换完成，双方使用Socket通讯

直观的协商及通讯过程：

方案

通过对协议实现的解读可知：在 HTTP 切换到 Socket 之前，没有什么好的机会进行鉴权，因为在这个时间节点，报文（或者说请求的Headers）必须遵守协议规范。但这不妨碍我们在协议切换完成后，进行鉴权授权：

鉴权

在连接建立时，检查连接的HTTP请求头信息（比如cookies中关于用户的身份信息）
在每次接收到消息时，检查连接是否已授权过，及授权是否过期
以上两点，只要答案为否，则服务端主动关闭socket连接

授权

服务端在连接建立时，颁发一个ticket给peer端，这个ticket可以包含但不限于：

peer端的uniqueId（可以是ip，userid，deviceid…任一种具备唯一性的键）
过期时间的timestamp
token：由以上信息生成的哈希值，最好能加盐

安全性的补充说明

有朋友问：这一套机制如何防范重放攻击，私以为可以从以下几点出发：

可以用这里提到的expires，保证过期，如果你愿意，甚至可以每次下发消息时都发送一个新的Ticket，只要上传消息对不上这个Ticket，就断开，这样非Original Peer是没法重放的
可以结合redis，实现 ratelimit，防止高频刷接口，这个可以参考 express-rate-limit，原理很简单，不展开
为防止中间人，最好使用wss（TLS）

代码实现

WebSocket连接处理，基于 node.js 的 ws 实现：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
import url from 'url'
import WebSocket from 'ws'
import debug from 'debug'
import moment from 'moment'
import { Ticket } from '../models'
 
const debugInfo = debug('server:global')
 
// server 可以是 http server实例
const wss = new WebSocket.Server({ server })
wss.on('connection', async(ws) => {
  const location = url.parse(ws.upgradeReq.url, true)
  const cookie = ws.upgradeReq.cookie
  debugInfo('ws request from: ', location, 'cookies:', cookie)
 
  // issue & send ticket to the peer
  if (!checkIdentity(ws)) {
    terminate(ws)
  } else {
    const ticket = issueTicket(ws)
    await ticket.save()
    ws.send(ticket.pojo())
 
    ws.on('message', (message) => {
      if (!checkTicket(ws, message)) {
        terminate(ws)
      }
      debugInfo('received: %s', message)
    })
  }
})
 
function issueTicket(ws) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  return new Ticket(uniqueId)
}
 
async function checkTicket(ws, message) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  const record = await Ticket.get(uniqueId)
  const token = message.token
  return record
    && record.expires
    && record.token
    && record.token === token
    && moment(record.expires) >= moment()
}
 
// 身份检查，可填入具体检查逻辑
function checkIdentity(ws) {
  return true
}
 
function terminate(ws) {
  ws.send('BYE!')
  ws.close()
}

授权用到的 Ticket（这里存储用到的是knex + postgreSQL）：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import shortid from 'shortid'
import { utils } from '../components'
import { db } from './database'
 
export default class Ticket {
  constructor(uniqueId, expiresMinutes = 30) {
    const now = new Date()
    this.unique_id = uniqueId
    this.token = Ticket.generateToken(uniqueId, now)
    this.created = now
    this.expires = moment(now).add(expiresMinutes, 'minute')
  }
 
  pojo() {
    return {
      ...this
    }
  }
 
  async save() {
    return await db.from('tickets').insert(this.pojo()).returning('id')
  }
 
  static async get(uniqueId) {
    const result = await db
      .from('tickets')
      .select('id', 'unique_id', 'token', 'expires', 'created')
      .where('unique_id', uniqueId)
    const tickets = JSON.parse(JSON.stringify(result[0]))
    return tickets
  }
 
  static generateToken(uniqueId, now) {
    const part1 = uniqueId
    const part2 = now.getTime().toString()
    const part3 = shortid.generate()
    return utils.sha1(`${part1}:${part2}:${part3}`)
  }
}

utils 的哈希方法：

JavaScript
1
2
3
4
5
6
7
8
9
import crypto from 'crypto'
 
export default {
  sha1(str) {
    const shaAlog = crypto.createHash('sha1')
    shaAlog.update(str)
    return shaAlog.digest('hex')
  },
}

扫描二维码推送至手机访问。

本文链接：https://www.ft12.com/article_382.html

标签: WebSocket 鉴权

分享给朋友：

返回列表

上一篇：FT12短网址：未来汽车迭代的核心是大数据AI

下一篇：短网址源代码文件句柄泄露问题解决小记

IM 消息可靠性及一致性的解决方案

即时聊天（IM）系统需要解决消息可靠性及消息一致性问题。消息可靠性，简单来说就是不丢消息，会话一方发送消息，消息成功到达对方并正确显示；消息一致性，包括发送一方消息一致及会话双方消息一致，要求消息不重复，不乱序。消息发送实现过程消息发送一般...

高效排查短网址系统故障：高并发引起的系统设计“踩坑”案例

短网址的判定逻辑十分复杂，一方面是各种类型的网址，有正常的短链接，另外是短网址保证用户的使用，特别是商家的影响面非常广，任何一个小故障都可能引发一些社会问题，所以FT12短网址对产品的质量，对服务的连续性有严格的要求。FT12短网址的技术人...

现实版“樊胜美”被逼出10万给弟弟买婚房，已成普遍现象

女权主义已经如此“嚣张”，女性数量也这么稀缺，女性的地位难道还依旧低下吗？关于“女子被逼出10万给弟弟买婚房”这则新闻，虽然不少网友纠结于，近20年前该女子父母每月给她300元生活费算不算亏待，但绝大多数网友都仍是认定，这个女子32岁了父母...

内容电商的时代看同路大叔怎样下这盘棋

【ft12短链接网讯】同路大叔——这个靠星座吐槽发家的网红IP，在新浪微博上具有超越1210万名粉丝，微信推送音讯简直能做到条条“十万+”。这个坐拥无穷粉丝集体的自媒体，本来早就走上了内容电商变现的路途。现在同路大叔开设了天猫官方旗舰店，具...

最新“亚洲品牌500强”：中日韩入选最多

【FT12短网址】9月28日电业界最新发布的2017年“亚洲品牌500强”显示，中国、日本和韩国成为入榜品牌数量最多的国家。日本丰田、索尼和中国国家电网名列此次榜单前三名，前十名中另外七个品牌依次是三星、工商银行、海尔、华为、中国人寿、腾...

线下成电商必争之地京东美团陆续在京开店

在推翻了传统商超之后，电商却一直企图和它们做兄弟，2017年，在用O2O与线下零售合作遭受重重困阻之后，电商公司干脆做起了自营超市。阿里旗下的盒马鲜生一度成为新零售的代表，而该公司创始人侯毅的老东家京东，也不想错失新式线下超市的时机。据联商...

首页

短网址资讯

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

IM 消息可靠性及一致性的解决方案

高效排查短网址系统故障：高并发引起的系统设计“踩坑”案例

现实版“樊胜美”被逼出10万给弟弟买婚房，已成普遍现象

内容电商的时代看同路大叔怎样下这盘棋

最新“亚洲品牌500强”：中日韩入选最多

线下成电商必争之地京东美团陆续在京开店

发表评论

Copyright ft12.com All Rights Reserved.

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

发表评论取消回复

发表评论