WebSocket 的鉴权授权方案

www.ft12.com9年前 (2017-08-05)短网址资讯2171

引子

WebSocket 是个好东西，为我们提供了便捷且实时的通讯能力。然而，对于 WebSocket 客户端的鉴权，协议的 RFC 是这么说的：

This protocol doesn’t prescribe any particular way that servers can
authenticate clients during the WebSocket handshake. The WebSocket
server can use any client authentication mechanism available to a
generic HTTP server, such as cookies, HTTP authentication, or TLS
authentication.

也就是说，鉴权这个事，得自己动手

协议原理

WebSocket 是独立的、创建在 TCP 上的协议。

为了创建Websocket连接，需要通过浏览器发出请求，之后服务器进行回应，这个过程通常称为“握手”。

实现步骤：

1. 发起请求的浏览器端，发出协商报文：

1
2
3
4
5
6
7
8
GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Origin: http://example.com
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13

2. 服务器端响应101状态码（即切换到socket通讯方式），其报文：

1
2
3
4
5
HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo=
Sec-WebSocket-Protocol: chat

3. 协议切换完成，双方使用Socket通讯

直观的协商及通讯过程：

方案

通过对协议实现的解读可知：在 HTTP 切换到 Socket 之前，没有什么好的机会进行鉴权，因为在这个时间节点，报文（或者说请求的Headers）必须遵守协议规范。但这不妨碍我们在协议切换完成后，进行鉴权授权：

鉴权

在连接建立时，检查连接的HTTP请求头信息（比如cookies中关于用户的身份信息）
在每次接收到消息时，检查连接是否已授权过，及授权是否过期
以上两点，只要答案为否，则服务端主动关闭socket连接

授权

服务端在连接建立时，颁发一个ticket给peer端，这个ticket可以包含但不限于：

peer端的uniqueId（可以是ip，userid，deviceid…任一种具备唯一性的键）
过期时间的timestamp
token：由以上信息生成的哈希值，最好能加盐

安全性的补充说明

有朋友问：这一套机制如何防范重放攻击，私以为可以从以下几点出发：

可以用这里提到的expires，保证过期，如果你愿意，甚至可以每次下发消息时都发送一个新的Ticket，只要上传消息对不上这个Ticket，就断开，这样非Original Peer是没法重放的
可以结合redis，实现 ratelimit，防止高频刷接口，这个可以参考 express-rate-limit，原理很简单，不展开
为防止中间人，最好使用wss（TLS）

代码实现

WebSocket连接处理，基于 node.js 的 ws 实现：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
import url from 'url'
import WebSocket from 'ws'
import debug from 'debug'
import moment from 'moment'
import { Ticket } from '../models'
 
const debugInfo = debug('server:global')
 
// server 可以是 http server实例
const wss = new WebSocket.Server({ server })
wss.on('connection', async(ws) => {
  const location = url.parse(ws.upgradeReq.url, true)
  const cookie = ws.upgradeReq.cookie
  debugInfo('ws request from: ', location, 'cookies:', cookie)
 
  // issue & send ticket to the peer
  if (!checkIdentity(ws)) {
    terminate(ws)
  } else {
    const ticket = issueTicket(ws)
    await ticket.save()
    ws.send(ticket.pojo())
 
    ws.on('message', (message) => {
      if (!checkTicket(ws, message)) {
        terminate(ws)
      }
      debugInfo('received: %s', message)
    })
  }
})
 
function issueTicket(ws) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  return new Ticket(uniqueId)
}
 
async function checkTicket(ws, message) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  const record = await Ticket.get(uniqueId)
  const token = message.token
  return record
    && record.expires
    && record.token
    && record.token === token
    && moment(record.expires) >= moment()
}
 
// 身份检查，可填入具体检查逻辑
function checkIdentity(ws) {
  return true
}
 
function terminate(ws) {
  ws.send('BYE!')
  ws.close()
}

授权用到的 Ticket（这里存储用到的是knex + postgreSQL）：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import shortid from 'shortid'
import { utils } from '../components'
import { db } from './database'
 
export default class Ticket {
  constructor(uniqueId, expiresMinutes = 30) {
    const now = new Date()
    this.unique_id = uniqueId
    this.token = Ticket.generateToken(uniqueId, now)
    this.created = now
    this.expires = moment(now).add(expiresMinutes, 'minute')
  }
 
  pojo() {
    return {
      ...this
    }
  }
 
  async save() {
    return await db.from('tickets').insert(this.pojo()).returning('id')
  }
 
  static async get(uniqueId) {
    const result = await db
      .from('tickets')
      .select('id', 'unique_id', 'token', 'expires', 'created')
      .where('unique_id', uniqueId)
    const tickets = JSON.parse(JSON.stringify(result[0]))
    return tickets
  }
 
  static generateToken(uniqueId, now) {
    const part1 = uniqueId
    const part2 = now.getTime().toString()
    const part3 = shortid.generate()
    return utils.sha1(`${part1}:${part2}:${part3}`)
  }
}

utils 的哈希方法：

JavaScript
1
2
3
4
5
6
7
8
9
import crypto from 'crypto'
 
export default {
  sha1(str) {
    const shaAlog = crypto.createHash('sha1')
    shaAlog.update(str)
    return shaAlog.digest('hex')
  },
}

扫描二维码推送至手机访问。

本文链接：https://www.ft12.com/article_382.html

标签: WebSocket 鉴权

分享给朋友：

简单高效的短网址生成服务C#实现

项目中有一处需求，需要把长网址缩为短网址，把结果通过短信、微信等渠道推送给客户。刚开始直接使用网上现成的开放服务，然后在某个周末突然手痒想自己动手实现一个别具特色的长网址（文本）缩短服务。由于以前做过socket服务，对数据包的封装排列还有…

O2O进入下半场，百度或携人工智能实现弯道超车？

近日，百度外卖副总裁陈锦晖宣布辞职的消息刷爆了互联网，百度外卖业务要出售给顺丰的消息也时有流出。正如美团CEO王兴所言，国内O2O行业已经进入了“下半场”。随着移动互联网人口红利减退，烧钱竞争所带来的粗放式增长已经告一段落。实际上在今年第…

技术漫谈：为何KPI毁了索尼，而OKR却成就了谷歌？

作者｜李运华编辑｜小智从技术 leader 的角度出发，看技术人绩效考核的痛。大多数公司里面总会因为 KPI 的考核方式而存在各种各样的问题，OKR 是一个在硅谷互联网公司比较流行的做法。怎样去理解 OKR 这个概念，并在技术团队中推行，从…

AppStore算法再次升级，运营如何在ASO中破冰？

作者：刘兴时史上最严厉的AppStore算法来了，黑色5月一点都不夸张！近段时间，笔者发现移动互联网圈里做运营推广的朋友挺抓狂的，大家都在吐槽AppStore，吐槽点集中在“最近的评论都被AppStore删除了,ASO真的没法做了”史上最严…

公司监督将人类工人变成了真菌

共同的智慧告诉我们，随着时间的推移，科幻小说很快就成为现实。电影Gattica描绘了遗传操作技术进步的世界，使得后代的遗传增强对于谁负担得起是很常见的，就业由遗传概况严格决定，从而减少了“无价值”，即没有遗传改良的人到劳动力市场的二等经济地…

90后再次被盯上，两大行同时入局校园贷市场

[ ft12短网址导读 ] 在2017年金融体系“去杠杆、控风险”的大背景下，几乎所有的风险领域都在收缩，此时国有大行布局校园贷，只能有两个解释：一是在大行看来，校园贷属于低风险业务；另外是担当社会责任，配合金融治理“堵偏门、开正…

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

简单高效的短网址生成服务C#实现

O2O进入下半场，百度或携人工智能实现弯道超车？

技术漫谈：为何KPI毁了索尼，而OKR却成就了谷歌？

AppStore算法再次升级，运营如何在ASO中破冰？

公司监督将人类工人变成了真菌

90后再次被盯上，两大行同时入局校园贷市场

发表评论

Copyright ft12.com All Rights Reserved.

Powered By Z-BlogPHP. Theme by TOYEAN.

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

简单高效的短网址生成服务C#实现

O2O进入下半场，百度或携人工智能实现弯道超车？

技术漫谈：为何KPI毁了索尼，而OKR却成就了谷歌？

AppStore算法再次升级，运营如何在ASO中破冰？

公司监督将人类工人变成了真菌

90后再次被盯上，两大行同时入局校园贷市场

发表评论取消回复

Powered By Z-BlogPHP. Theme by TOYEAN.

发表评论