WebSocket 的鉴权授权方案

www.ft12.com9年前 (2017-08-05)短网址资讯2208

引子

WebSocket 是个好东西，为我们提供了便捷且实时的通讯能力。然而，对于 WebSocket 客户端的鉴权，协议的 RFC 是这么说的：

This protocol doesn’t prescribe any particular way that servers can
authenticate clients during the WebSocket handshake. The WebSocket
server can use any client authentication mechanism available to a
generic HTTP server, such as cookies, HTTP authentication, or TLS
authentication.

也就是说，鉴权这个事，得自己动手

协议原理

WebSocket 是独立的、创建在 TCP 上的协议。

为了创建Websocket连接，需要通过浏览器发出请求，之后服务器进行回应，这个过程通常称为“握手”。

实现步骤：

1. 发起请求的浏览器端，发出协商报文：

1
2
3
4
5
6
7
8
GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Origin: http://example.com
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13

2. 服务器端响应101状态码（即切换到socket通讯方式），其报文：

1
2
3
4
5
HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo=
Sec-WebSocket-Protocol: chat

3. 协议切换完成，双方使用Socket通讯

直观的协商及通讯过程：

方案

通过对协议实现的解读可知：在 HTTP 切换到 Socket 之前，没有什么好的机会进行鉴权，因为在这个时间节点，报文（或者说请求的Headers）必须遵守协议规范。但这不妨碍我们在协议切换完成后，进行鉴权授权：

鉴权

在连接建立时，检查连接的HTTP请求头信息（比如cookies中关于用户的身份信息）
在每次接收到消息时，检查连接是否已授权过，及授权是否过期
以上两点，只要答案为否，则服务端主动关闭socket连接

授权

服务端在连接建立时，颁发一个ticket给peer端，这个ticket可以包含但不限于：

peer端的uniqueId（可以是ip，userid，deviceid…任一种具备唯一性的键）
过期时间的timestamp
token：由以上信息生成的哈希值，最好能加盐

安全性的补充说明

有朋友问：这一套机制如何防范重放攻击，私以为可以从以下几点出发：

可以用这里提到的expires，保证过期，如果你愿意，甚至可以每次下发消息时都发送一个新的Ticket，只要上传消息对不上这个Ticket，就断开，这样非Original Peer是没法重放的
可以结合redis，实现 ratelimit，防止高频刷接口，这个可以参考 express-rate-limit，原理很简单，不展开
为防止中间人，最好使用wss（TLS）

代码实现

WebSocket连接处理，基于 node.js 的 ws 实现：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
import url from 'url'
import WebSocket from 'ws'
import debug from 'debug'
import moment from 'moment'
import { Ticket } from '../models'
 
const debugInfo = debug('server:global')
 
// server 可以是 http server实例
const wss = new WebSocket.Server({ server })
wss.on('connection', async(ws) => {
  const location = url.parse(ws.upgradeReq.url, true)
  const cookie = ws.upgradeReq.cookie
  debugInfo('ws request from: ', location, 'cookies:', cookie)
 
  // issue & send ticket to the peer
  if (!checkIdentity(ws)) {
    terminate(ws)
  } else {
    const ticket = issueTicket(ws)
    await ticket.save()
    ws.send(ticket.pojo())
 
    ws.on('message', (message) => {
      if (!checkTicket(ws, message)) {
        terminate(ws)
      }
      debugInfo('received: %s', message)
    })
  }
})
 
function issueTicket(ws) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  return new Ticket(uniqueId)
}
 
async function checkTicket(ws, message) {
  const uniqueId = ws.upgradeReq.connection.remoteAddress
  const record = await Ticket.get(uniqueId)
  const token = message.token
  return record
    && record.expires
    && record.token
    && record.token === token
    && moment(record.expires) >= moment()
}
 
// 身份检查，可填入具体检查逻辑
function checkIdentity(ws) {
  return true
}
 
function terminate(ws) {
  ws.send('BYE!')
  ws.close()
}

授权用到的 Ticket（这里存储用到的是knex + postgreSQL）：

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import shortid from 'shortid'
import { utils } from '../components'
import { db } from './database'
 
export default class Ticket {
  constructor(uniqueId, expiresMinutes = 30) {
    const now = new Date()
    this.unique_id = uniqueId
    this.token = Ticket.generateToken(uniqueId, now)
    this.created = now
    this.expires = moment(now).add(expiresMinutes, 'minute')
  }
 
  pojo() {
    return {
      ...this
    }
  }
 
  async save() {
    return await db.from('tickets').insert(this.pojo()).returning('id')
  }
 
  static async get(uniqueId) {
    const result = await db
      .from('tickets')
      .select('id', 'unique_id', 'token', 'expires', 'created')
      .where('unique_id', uniqueId)
    const tickets = JSON.parse(JSON.stringify(result[0]))
    return tickets
  }
 
  static generateToken(uniqueId, now) {
    const part1 = uniqueId
    const part2 = now.getTime().toString()
    const part3 = shortid.generate()
    return utils.sha1(`${part1}:${part2}:${part3}`)
  }
}

utils 的哈希方法：

JavaScript
1
2
3
4
5
6
7
8
9
import crypto from 'crypto'
 
export default {
  sha1(str) {
    const shaAlog = crypto.createHash('sha1')
    shaAlog.update(str)
    return shaAlog.digest('hex')
  },
}

扫描二维码推送至手机访问。

本文链接：https://www.ft12.com/article_382.html

标签: WebSocket 鉴权

分享给朋友：

短网址有什么用？

很多人有疑问，短网址的存在到底有什么意义呢？这个问题在移动互联网时代还未开始的时候，真的很难回答，但是如今，我相信没有人不知道短网址存在的重要性了。因为很多很多人都在日常生活中能见到短链接。据不完全统计，目前移动流量已经远远超越了PC流量，…

否认全盘接手，百度外卖或与顺丰成立合资公司

[ 亿欧导读 ] 现在顺丰控股收购baidu外卖的方向是，双方将按照5:5的出资份额，一起出资经过建立合资公司来运营，不过一切都未确定，还存在变数。一位接近交易的人士表示：“之所以不会全盘接手baidu外卖，主要是因为顺丰以为全资…

年薪100万的年轻人都是怎样生活的？

税季，我 Facebook 的码农好朋友纷纷找我报税。我一看工资单，惊呆。“我知道 Facebook 工资高，但是一帮二十二三岁的键盘侠，本科刚毕业，年薪人民币 110 万，太夸张了!”“我明年涨工资，30%，不过我给公司创造的价值更多。”…

闫东论百度大脑的谋和断---2017

[ ft12短网址导读 ] 国之谋断，家之谋断咱们做生态化，城市之谋断咱们做城镇化，咱们称之为一基地四中心。聚集当地生态，完成当地智能化生态的改造。家事国务天下事，离不开大数据的有备无患，也离不开人工智能的抓住时机。将来智能和工业…

七个用户体验设计的小提示，助你建最佳的移动设计

好的规划处理了这两个疑问：它明晰重视用户的首要方针，并经过界面明晰度消除用户的一切妨碍。打开网页时，一般会显现登录墙。请记住，过早的强制注册也许致使超过85%的用户放弃商品。鄙人面的示例中，Soundcloud请求用户登录才能拜访运用的内容…

t.cn短链接的今生与前世

也许是无意之作，t.cn短链接就非常突兀的出现在了新浪微博，这个事情还得从新浪微博的发展说起。2010左右，新浪推出了微博并一举威胁到了腾讯的QQ空间，顿时间无人不刷微博。逐渐的，微博成了人们生活中不可或缺的一个应用，无论是吃饭、睡觉、走路…

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

短网址有什么用？

否认全盘接手，百度外卖或与顺丰成立合资公司

年薪100万的年轻人都是怎样生活的？

闫东论百度大脑的谋和断---2017

七个用户体验设计的小提示，助你建最佳的移动设计

t.cn短链接的今生与前世

发表评论

Copyright ft12.com All Rights Reserved.

Powered By Z-BlogPHP. Theme by TOYEAN.

WebSocket 的鉴权授权方案

引子

协议原理

方案

鉴权

授权

安全性的补充说明

代码实现

相关文章

短网址有什么用？

否认全盘接手，百度外卖或与顺丰成立合资公司

年薪100万的年轻人都是怎样生活的？

闫东论百度大脑的谋和断---2017

七个用户体验设计的小提示，助你建最佳的移动设计

t.cn短链接的今生与前世

发表评论取消回复

Powered By Z-BlogPHP. Theme by TOYEAN.

发表评论