本文共 2145 字,大约阅读时间需要 7 分钟。
WebSocket作为一种支持浏览器与服务器全双工通信的协议,对于复杂的前端应用,在交互体验和性能的改进上,是一种非常合适的解决方案。随着WebSocket更多地应用于生产开发,安全也成为了必须要关注的问题。
关于安全有一个可能的误区是:如果用户通过了web应用的认证(登录了系统),建立的WebSocket连接,就也是经过认证的。实际上,这是两个完全不同的通道,socket连接需要建立自己的认证体系。
有两种方式可以解决认证的问题,一种是传统的基于cookie,一种是基于Token的。
两种方式比较起来,个人更倾向于基于Token的方案。主要是以下几方面考虑:
在Token的实现方式上,可以选择JSON Web Token(JWT)。这是一种开放的轻量级的认证规范(),用于保证在用户和服务器之间传递安全可靠的信息。
以下是一个简单的例子,基于express、Socket.IO来构建了一个支持认证的WebScoket通信服务。
其中,用到了两个实现库:
应用服务模块,在用户登录的时候创建一个token,
var jwt = require('jsonwebtoken');app.post('/login', function (req, res) { var profile = { name: 'david', email: 'david@alibaba.com', id: 123 }; // 根据profile信息生产token var token = jwt.sign(profile, jwtSecret); res.json({token: token});});var server = http.createServer(app); 在Socket.IO模块,绑定一个全局的回调用来做认证。
var socketioJwt = require('socketio-jwt');var sio = socketIo.listen(server);sio.set('authorization', socketioJwt.authorize({ secret: jwtSecret, handshake: true}));sio.sockets .on('connection', function (socket) { console.log('connected'); //socket.on('event'); });server.listen(9000, function () { console.log('listening on http://localhost:9001');}); 其中,jwtSecret需要保存在服务器上,用来完成JWT的验证。
如果客户单发送了有效的JWT,相当于握手成功并且connection就会建立。
以下是一个简单的客户端例子:
function connect_socket (token) { var socket = io.connect('', { query: 'token=' + token }); socket.on('connect', function () { console.log('authenticated'); }).on('disconnect', function () { console.log('disconnected'); });}$('#login').submit(function (e) { e.preventDefault(); $.post('/login', { username: $('username').val(), password: $('password').val() }).done(function (result) { connect_socket(result.token); });}); 相比较基于cookie,基于token的方式非常易于代码实现,且便于集成到已有系统中。
转载地址:http://bdxpo.baihongyu.com/