基于Token认证的WebSocket连接

最新推荐文章于 2024-07-12 17:10:53 发布
最新推荐文章于 2024-07-12 17:10:53 发布
阅读量1.3w 收藏 12
点赞数
文章标签: 网络 java json
原文链接:https://yq.aliyun.com/articles/229057
版权
WebSocket全双工通信在复杂应用中提升交互体验,但安全问题也随之而来。本文讨论了基于cookie和Token的认证方式,主张使用Token以降低耦合性、减少session管理并提高适用性。介绍了使用jsonwebtoken和socketio-jwt库在服务端和客户端实现基于Token的JWT认证,以确保安全的WebSocket连接。
摘要由CSDN通过智能技术生成

概要

WebSocket作为一种支持浏览器与服务器全双工通信的协议,对于复杂的前端应用,在交互体验和性能的改进上,是一种非常合适的解决方案。随着WebSocket更多地应用于生产开发,安全也成为了必须要关注的问题。

关于安全有一个可能的误区是:如果用户通过了web应用的认证(登录了系统),建立的WebSocket连接,就也是经过认证的。实际上,这是两个完全不同的通道,socket连接需要建立自己的认证体系。

认证的方式(cookie or Token)

有两种方式可以解决认证的问题,一种是传统的基于cookie,一种是基于Token的。

两种方式比较起来,个人更倾向于基于Token的方案。主要是以下几方面考虑:

  • 耦合性。基于cookie,意味着,应用本身的认证和提供WebSocket的服务,得是同一套session cookie的管理机制。有的时候,可能这也不是大的问题,但是以目前我们工程中的大部分场景看,应用服务是基于java的一些web framework,而socket由Socket.IO来提供。让两个功能的系统协调一种共享的认证方式,就不那么容易。所以,需要解除这种对应用服务的依赖。
  • session的管理。同时,如果WebSocket服务自己来维护基于cookie的认证,就需要借助一些存储(DB、Redis)来存储session。作为一个纯为解决通信连接的服务,这一块也是不希望来维护的。
  • 适用性。另外,cookie也会在有些设备或浏览器设置中被禁用,在这种
最低0.47元/天 解锁文章
weixin_33937499
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot+vue+websockettoken身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
JavaScript】在websocket里面添加Token
热门推荐
maomaolaoshi的博客
09-10 3万+
websocket协议在握手阶段借用了HTTP的协议,但是在JavaScript websocketAPI中并没有修改请求头的方法。 var token='dcvuahsdnfajw12kjfasfsdf34' send发送参数 var ws = new WebSocket("ws://" + url + "/webSocketServer"); ws.onopen=functio...
WebSocket 连接建立之前进行身份验证时,token 应该如何存储
最新发布
Chihirozy的博客
07-12 608
您可以根据您的应用需求和架构选择合适的 token 存储方式。当需要使用 token 进行身份验证时,可以从。
websocket jwt token
shelutai的博客
03-20 3519
websocket中,目前未提供修改请求头字段的方法,不过可以借助于“Sec-WebSocket-Protocol”,将token放入请求头中,后端收到请求后,从请求头中取得token做校验。另外需要注意的是,在响应头上添加Sec-Websocket-Protocol,如下是在grilla/websocket响应中设置Sec-Websocket-Protocol的方式。后端接收到请求后,从header中取出“Sec-WebSocket-Protocol”,做校验。在后面加上[这里是token内容]。
webSocket,自动重连,带心跳,携带token
weixin_49722066的博客
06-14 399
新建socket.js文件。这是我目前正在使用的方式。
前端在WebSocket中加入Token
weixin_47793340的博客
02-06 4922
WebSocket通信中加入Token主要是为了实现身份验证和授权,确保只有经过验证的用户可以建立WebSocket连接。由于WebSocket API本身不支持直接在连接时设置HTTP头部,因此需要采用一些变通的方法来传递Token
基于netty的websocket即时聊天程序
08-05
- 数据加密:可以通过SSL/TLS对WebSocket连接进行加密,确保数据传输的安全。 - 防火墙穿透:WebSocket可以通过标准端口80和443穿透大多数防火墙。 7. **代码实现** - 创建WebSocketServerHandler,处理...
基于websocketjava社交平台的软件,webchat
01-16
主要涉及到的类有`WebSocketMessageBrokerConfigurer`,用于配置WebSocket消息总线,以及`WebSocketHandler`,处理WebSocket连接的创建、消息发送和接收。 1. **配置WebSocket**: 首先,我们需要在Spring配置类中...
SashulinMessageBroker的websocket开发
03-12
8. **安全性与授权**:使用WSS(WebSocket Secure)确保通信安全,同时SashulinMessageBroker可能支持基于Token或Session的用户身份验证,以确保只有授权的客户端可以连接和发送消息。 9. **WebSocket应用实例**:...
springboot + jwt + websocket + 拦截
09-02
3. **拦截WebSocket连接**:为了增强安全性,可以使用Spring的WebSocket消息拦截器(WebSocketMessageBrokerConfigurer)来拦截WebSocket连接请求,对JWT进行验证,只有当JWT有效时才允许建立WebSocket连接。...
在vue项目中webSocket封装(传token
宝子的博客
12-16 2439
在中,目前未提供修改请求头字段的方法,参考其他的一些文章,依照他们的写法依然未能实现传递token,所有我和后端另辟蹊径,把token传在路径里面。
SpringBoot为WebSocket添加安全认证与授权功能
禅与计算机程序设计艺术
07-29 2572
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证与授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证与授权功能提供了开箱即用的解决方案。
SpringBoot、Spring-security、WebSocket整合,WebSockettoken加入Spring-security认证机制
qq_37470526的博客
08-06 6026
背景 项目里边有个模块首页会显示一些汇总信息,有部分信息需要进行实时更新,因此想到使用WebSocket进行长连接,进入后便链接后台,然后后台根据需求(定时、数据有更新)给前台反馈数据,从而达到一次链接,一直通信的功能。避免了前端轮询调用带来的资源消耗。 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、
oauth2关于websocket携带token的探讨
weixin_43277309的博客
02-25 5700
oauth2关于websocket携带token的探讨一、简述二、关于websocket请求携带token2.1、通过websocket下的子协议来实现2.2、资源服务器放开请求路径。2.3、请求参数上携带access_token=token2.4、请求websocket的请求头中携带sec-websocket-protocol=Bearer +token三、后续有时间再补充 一、简述 前段时间,公司有个技术需求是做一个实时在线沟通功能,在遵循**合适、简单、演化**的原则下,我决定采用websocket
SpringSecurity整合WebSocket并携带token
oNew_Lifeo的博客
04-07 8098
导入SpringSecurity的SpringBoot项目,在连接WebSocket时进行token校验
Websockettoken发起连接
华灯初上
08-04 1万+
今天碰到一个需要在连接websocket服务时提交token的业务场景,无奈websocket不支持同时提交header,翻阅官方文档时候发现了可以携带一个自定义协议,我们可以通过将token存放在自定义协议中达到提交token的目的。 根据文档,我们调整下代码: //请务必注意,协议提交的是一个字符串数组类型。 var socket = new WebSocket('wss://url',['用户的token']); 好,这样我们的前端改造就完成了,简单吧~。 接下来就是后端的取值.
websocket如何在header中携带token参数
weixin_69043813的博客
10-20 5627
【代码】websocket如何在header中携带token参数。
Websocket实现token认证方式
Cain的博客
07-26 9488
websocket token认证
Springboot实现websocket连接前jwt验证token
weixin_42966151的博客
09-27 4819
二、因为springboot的websocket连接时不会显示header信息,也就无法拿到cookie中的token信息,需要在连接前处理,新建一个WebSocketConfig.class,在连接前做一个jwt的token验证,并获取用户的账号信息添加到session中。(关于jwt的token验证工具类我这里就不详细讲了),用户连接服务器weksocket前,需经过jwt的token验证(token中包含账号信息),验证合法后,才可以于服务器正常交互。一、配置依赖(pom.xml)
websocket校验token
05-25
首先,需要明确的是,WebSocket 是一种基于 TCP 协议的双向通信协议,在 WebSocket 连接建立后,服务器和客户端可以相互发送消息,而不需要像 HTTP 那样通过请求和响应交换数据。 在使用 WebSocket 校验 Token 时,可以采用以下步骤: 1. 客户端在连接 WebSocket 时,将 Token 作为请求头中的一个字段进行传递。 2. 服务器在接收到 WebSocket 连接请求时,从请求头中获取 Token,并对 Token 进行校验。 3. 如果 Token 校验通过,则将 WebSocket 连接建立成功,并返回一个成功的响应;如果 Token 校验失败,则拒绝建立 WebSocket 连接,并返回一个错误的响应。 以下是一个示例代码,用于在 Node.js 服务器上实现基于 WebSocketToken 校验: ```javascript const WebSocket = require('ws'); const jwt = require('jsonwebtoken'); const wss = new WebSocket.Server({ port: 8080 }); wss.on('connection', (ws, req) => { const token = req.headers['authorization']; try { const decoded = jwt.verify(token, 'secret'); // Token 校验通过,建立 WebSocket 连接 console.log('WebSocket connection established'); ws.on('message', (message) => { console.log(`Received message: ${message}`); }); ws.send('Connection established'); } catch (err) { // Token 校验失败,拒绝建立 WebSocket 连接 console.error('WebSocket connection rejected:', err.message); ws.close(); } }); ``` 在上面的示例中,我们使用了 `jsonwebtoken` 库来对 Token 进行解析和校验。在实际应用中,需要根据具体的业务场景和安全要求,选择合适的 Token 校验库和方式。同时,也需要注意在传递 Token 时,要使用 HTTPS 等安全的传输协议,以保障 Token 的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值