秘密任务 3.0：如何通过 JWT 认证确保 WebSockets 安全

在之前的文章中，我们探讨了如何通过 WebSockets + DTOs 设计实时操作。现在，我们迎来了一项新的挑战：确保 WebSocket 通信在任务执行过程中保持安全。如果敌方潜伏在我们的实时通信渠道中，机密情报可能会被泄露。

任务： 实现 JWT 认证，确保只有 授权特工 能访问我们的网络。我们开始行动！

1️⃣ 为什么要保护 WebSockets？

WebSockets 允许 即时双向通信，但如果没有适当的安全措施，敌方特工可能会：

• 拦截传输（敏感情报泄露）
• 冒充特工（会话劫持）
• 发起未授权攻击（破坏任务关键数据）

🔹 你的目标： 在建立连接之前，使用 JWT 对每个特工进行 身份认证！

2️⃣ JWT + WebSockets 如何协同工作

步骤 1：特工认证（JWT 发行）

在特工能够访问 WebSocket 任务频道之前，必须先进行身份认证并获得授权。

1. 特工通过安全的 API 登录总部

• 特工提供其 操作凭证（例如，用户名和密码或多因素认证）。
• 请求通过 HTTPS 发送，以防止监听。
• 示例 API 请求：

  POST /api/auth/login  
  Content-Type: application/json  
  { "username": "AgentX", "password": "TopSecret123" }
  

2. 服务器验证凭证并发放 JWT 令牌

• 如果认证成功，服务器生成一个 JWT（JSON Web Token），其中包含：

  • 特工的 唯一 ID
  • 特工的 授权级别
  • 一个 过期时间 用于强制会话时限

• JWT 使用 私钥 签名，以防篡改。

  示例 JWT 负载：

  {
    "sub": "AgentX",
    "role": "field-operative",
    "exp": 1714598400
  }
  

3. 特工接收 JWT 令牌

特工在成功认证后，服务器会将 JWT 令牌作为 HTTP-only Cookie 返回给客户端。
更安全的方法： 服务器 设置一个 HTTP-only cookie，确保它随着请求自动发送。

示例 HTTP 响应（使用 Cookie 方法）：

HTTP/1.1 200 OK  
Set-Cookie: jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...; HttpOnly; Secure; SameSite=Strict  

4. 特工如何处理 JWT 令牌

• 浏览器 自动存储 Cookie，并在随后的请求中自动附带。
• 不需要客户端手动存储令牌。
• 令牌对 JavaScript 不可访问，防止 XSS 攻击。

客户端示例（无需手动存储 JWT）：

fetch("https://hq-secure.com/api/auth/login", {
  method: "POST",
  credentials: "include", // 确保发送 Cookie
  headers: { "Content-Type": "application/json" },
  body: JSON.stringify({ username: "AgentX", password: "TopSecret123" }),
})
  .then(response => {
    if (response.ok) console.log("登录成功，JWT 存储在 HttpOnly Cookie 中！");
  })
  .catch(error => console.error("认证失败", error));

缺点： WebSockets 不会自动附带 Cookie，因此客户端需要 手动获取 JWT，并在连接 WebSocket 时附上。

步骤 2：建立安全的 WebSocket 连接

一旦认证通过，特工必须在建立 WebSocket 连接时提供 JWT 令牌。

1. 特工在连接请求时提供 JWT

• WebSocket 客户端将 JWT 放入请求头 或作为 查询参数。
• 示例 WebSocket 连接请求：

  const socket = new WebSocket("wss://hq-secure.com/missions?token=eyJhbGciOiJIUzI1...");
  

2. WebSocket 服务器在建立连接前验证 JWT

• 服务器 提取并验证 JWT，检查：
  • 签名完整性（确保未被篡改）
  • 过期时间（拒绝过期令牌）
  • 特工的授权级别（仅允许授权访问）
• 如果 JWT 无效或过期，连接会被拒绝。

3. 访问控制：授权或拒绝

• ✅ 如果有效，WebSocket 连接建立，特工可以接收任务更新。
• ❌ 如果无效或过期，服务器 立即关闭连接。
• 示例服务器端验证：

  if (!isValidJWT(token)) {
      socket.close(4001, "未经授权：无效令牌");
  }
  

通过强制 基于 JWT 的认证，我们确保只有 授权特工 可以访问任务数据，同时维持 安全的实时通信。

3️⃣ 在 Node.js 中实现 JWT + WebSockets

步骤 1：安装所需工具

npm install express socket.io jsonwebtoken cors

步骤 2：生成和验证 JWT 凭证

const jwt = require("jsonwebtoken");
const SECRET_KEY = "top_secret_mission_code"; // 🔥 保持机密！

// 生成安全的授权令牌
function generateToken(agent) {
  return jwt.sign({ id: agent.id, codename: agent.codename }, SECRET_KEY, { expiresIn: "1h" });
}

// 验证特工授权
function verifyToken(token) {
  try {
    return jwt.verify(token, SECRET_KEY);
  } catch (err) {
    return null;
  }
}

步骤 3：WebSocket 总部 - 仅接受授权特工

const express = require("express");
const http = require("http");
const { Server } = require("socket.io");

const app = express();
const server = http.createServer(app);
const io = new Server(server, { cors: { origin: "*" } });

// 安全的 WebSocket 通信
io.use((socket, next) => {
  const token = socket.handshake.auth.token;
  const agent = verifyToken(token);
  if (!agent) return next(new Error("未经授权的访问 - 授权失败！"));
  socket.agent = agent; // 将特工信息附加到会话
  next();
});

io.on("connection", (socket) => {
  console.log(`特工已连接: ${socket.agent.codename}`);

  socket.on("message", (msg) => {
    console.log(`来自 ${socket.agent.codename} 的传输: ${msg}`);
  });

  socket.on("disconnect", () => {
    console.log(`特工断开连接: ${socket.agent.codename}`);
  });
});

server.listen(3000, () => console.log("安全 WebSocket 总部在端口 3000 上运行"));

✅ 现在，只有经过验证的特工才能建立安全的通信通道！

4️⃣ 现场特工设置：连接到安全的 WebSocket

步骤 1：安装 WebSocket 客户端模块

npm install socket.io-client

步骤 2：现场特工连接总部

import { io } from "socket.io-client";

const clearanceToken = localStorage.getItem("jwt"); // 获取安全令牌
const socket = io("http://localhost:3000", {
  auth: { token: clearanceToken },
});

socket.on("connect", () => {
  console.log("✅ 与总部建立了安全通道！");
});

socket.on("message", (msg) => {
  console.log("收到的传输:", msg);
});

socket.on("disconnect", () => {
  console.log("安全通道丢失！正在重试...");
});

✅ 现在，只有拥有有效清除令牌的特工才能访问任务更新！

5️⃣ 特工安全协议：最佳实践

✅ 使用 HTTP-only Cookies 存储 JWT（防止敌人 XSS 攻击）。
✅ 设置短生命周期令牌（例如 1 小时有效期），以减少安全风险。
✅ 实施刷新令牌，以便令牌过期后，特工能够重新认证。
✅ 加密 WebSocket 通道（WSS） 使用 SSL/TLS 保障通信安全。
✅ 监控并记录所有 WebSocket 连接，以检测可疑活动。

6️⃣Apipost 如何提供帮助

Apipost 是一款强大的工具，可帮助你实时测试、调试和监控 WebSocket 通信。

Apipost 的好处：

• 一体化 API 解决方案 → 设计、测试、调试、CI/CD 集成、模拟服务、无缝文档化 —— 一应俱全。
• 无需登录 → 直接开始使用，无需账号注册。
• 智能认证 → 内置支持 OAuth 2.0、JWT Bearer、AWS 签名、基本认证等。
• 支持多种通信协议 → 支持 HTTP、GraphQL、WebSocket、TCP、SSE 等。

任务完成：为什么选择 JWT + WebSockets？

安全特性	任务收益
JWT 认证	确保只有授权特工可以连接
无 API 轮询需求	减少总部服务器负担
安全的实时更新	保护机密情报
持久身份	保持断开重连后的会话

总部指令： 你现在具备了利用 JWT 和 WebSockets 构建 安全实时网络 的能力。将这一策略部署到实战中，确保没有未经授权的访问！