备案控制台
开发者社区 开发与运维 文章 正文

实践指南:WebSocket 鉴权的最佳实践

2023-11-24 497
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: WebSocket 作为实时通信的利器,越来越受到开发者的青睐。然而,为了确保通信的安全性和合法性,鉴权成为不可或缺的一环。本文将深入探讨 WebSocket 的鉴权机制,为你呈现一揽子的解决方案,确保你的 WebSocket 通信得心应手。

WebSocket 作为实时通信的利器,越来越受到开发者的青睐。然而,为了确保通信的安全性和合法性,鉴权成为不可或缺的一环。本文将深入探讨 WebSocket 的鉴权机制,为你呈现一揽子的解决方案,确保你的 WebSocket 通信得心应手。

使用场景

WebSocket 鉴权在许多场景中都显得尤为重要。例如,实时聊天应用、在线协作工具、实时数据更新等情境都需要对 WebSocket 进行鉴权,以确保只有合法的用户或服务可以进行通信。通过本文的指导,你将更好地了解在何种场景下使用 WebSocket 鉴权是有意义的。

WebSocket 调试工具

要调试 WebSocket,那就需要一个好的调试工具,这里我比较推荐 Apifox。它支持调试 http(s)、WebSocket、Socket、gRPCDubbo 等多种协议的接口,这使得它成为了一个非常全面的接口测试工具!

常见方法

方法 1:基于 Token 的鉴权

WebSocket 鉴权中,基于 Token 的方式是最为常见和灵活的一种。通过在连接时携带 Token,服务器可以验证用户的身份。以下是一个简单的示例:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

constWebSocket = require('ws');

 

constserver = newWebSocket.Server({ port: 3000});

 

server.on('connection', (socket, req) => {

    consttoken = req.headers['sec-websocket-protocol'];

    

    // 验证token的合法性

    if(isValidToken(token)) {

        // 鉴权通过,进行后续操作

        socket.send('鉴权通过,欢迎连接!');

    } else{

        // 鉴权失败,关闭连接

        socket.close();

    }

});

方法 2:基于签名的鉴权

另一种常见的鉴权方式是基于签名的方法。通过在连接时发送带有签名的信息,服务器验证签名的合法性。以下是一个简单的示例:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

constWebSocket = require('ws');

constcrypto = require('crypto');

 

constserver = newWebSocket.Server({ port: 3000});

 

server.on('connection', (socket, req) => {

    constsignature = req.headers['x-signature'];

    constdata = req.url + req.headers['sec-websocket-key'];

    

    // 验证签名的合法性

    if(isValidSignature(signature, data)) {

        // 鉴权通过,进行后续操作

        socket.send('鉴权通过,欢迎连接!');

    } else{

        // 鉴权失败,关闭连接

        socket.close();

    }

});

方法 3:基于 IP 白名单的鉴权

在某些情况下,你可能希望限制 WebSocket 连接只能来自特定 IP 地址范围。这时可以使用基于 IP 白名单的鉴权方式。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

constWebSocket = require('ws');

 

constallowedIPs = ['192.168.0.1', '10.0.0.2'];

 

constserver = newWebSocket.Server({ port: 3000});

 

server.on('connection', (socket, req) => {

    constclientIP = req.connection.remoteAddress;

    

    // 验证连接是否在白名单中

    if(allowedIPs.includes(clientIP)) {

        // 鉴权通过,进行后续操作

        socket.send('鉴权通过,欢迎连接!');

    } else{

        // 鉴权失败,关闭连接

        socket.close();

    }

});

方法 4:基于 OAuth 认证的鉴权

在需要与现有身份验证系统集成时,OAuth 认证是一种常见的选择。通过在连接时使用 OAuth 令牌,服务器可以验证用户的身份。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

constWebSocket = require('ws');

constaxios = require('axios');

 

constserver = newWebSocket.Server({ port: 3000});

 

server.on('connection', async (socket, req) => {

    constaccessToken = req.headers['authorization'];

    

    // 验证OAuth令牌的合法性

    try{

        constresponse = await axios.get('https://oauth-provider.com/verify', {

            headers: { Authorization: `Bearer ${accessToken}` }

        });

 

        if(response.data.valid) {

            // 鉴权通过,进行后续操作

            socket.send('鉴权通过,欢迎连接!');

        } else{

            // 鉴权失败,关闭连接

            socket.close();

        }

    } catch(error) {

        // 验证失败,关闭连接

        socket.close();

    }

});

其他常见方法...

除了以上介绍的方式,还有一些其他的鉴权方法,如基于 API 密钥、HTTP 基本认证等。根据具体需求,选择最适合项目的方式。

实践案例

基于 Token 的鉴权实践

  1. 在 WebSocket 连接时,客户端携带 Token 信息。
  2. 服务器接收 Token 信息并验证其合法性。
  3. 根据验证结果,允许或拒绝连接。

1

2

// 客户端代码

constsocket = newWebSocket('ws://localhost:3000', ['Bearer YOUR_TOKEN']);

1

2

3

4

5

6

7

8

9

10

// 服务器端代码

server.on('connection', (socket, req) => {

    consttoken = req.headers['sec-websocket-protocol'];

    

    if(isValidToken(token)) {

        socket.send('鉴权通过,欢迎连接!');

    } else{

        socket.close();

    }

});

基于签名的鉴权实践

  1. 在 WebSocket 连接时,客户端计算签名并携带至服务器。
  2. 服务器接收签名信息,验证其合法性。
  3. 根据验证结果,允许或拒绝连接。

1

2

// 客户端代码

constsocket = newWebSocket('ws://localhost:3000', { headers: { 'X-Signature': calculateSignature() } });

1

2

3

4

5

6

7

8

9

10

11

// 服务器端代码

server.on('connection', (socket, req) => {

    constsignature = req.headers['x-signature'];

    constdata = req.url + req.headers['sec-websocket-key'];

    

    if(isValidSignature(signature, data)) {

        socket.send('鉴权通过,欢迎连接!');

    } else{

        socket.close();

    }

});

基于 IP 白名单的鉴权实践

  1. 在 WebSocket 连接时,服务器获取客户端 IP 地址。
  2. 验证 IP 地址是否在白名单中。
  3. 根据验证结果,允许或拒绝连接。

1

2

3

4

5

6

7

8

9

10

// 服务器端代码

server.on('connection', (socket, req) => {

    constclientIP = req.connection.remoteAddress;

    

    if(allowedIPs.includes(clientIP)) {

        socket.send('鉴权通过,欢迎连接!');

    } else{

        socket.close();

    }

});

基于 OAuth 认证的鉴权实践

  1. 在 WebSocket 连接时,客户端携带 OAuth 令牌。
  2. 服务器调用 OAuth 服务验证令牌的合法性。
  3. 根据验证结果,允许或拒绝连接。

1

2

// 客户端代码

constsocket = newWebSocket('ws://localhost:3000', { headers: { 'Authorization': 'Bearer YOUR_ACCESS_TOKEN'} });

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

// 服务器端代码

server.on('connection', async (socket, req) => {

    constaccessToken = req.headers['authorization'];

    

    try{

        constresponse = await axios.get('https://oauth-provider.com/verify', {

            headers: { Authorization: `Bearer ${accessToken}` }

        });

 

        if(response.data.valid) {

            socket.send('鉴权通过,欢迎连接!');

        } else{

            socket.close();

        }

    } catch(error) {

        socket.close();

    }

});

提示、技巧和注意事项

  • 在选择鉴权方式时,要根据项目的实际需求和安全性要求进行合理选择。
  • 对于基于 Token 的鉴权,建议使用 JWT(JSON Web Token)来提高安全性。
  • 在验证失败时,及时关闭连接,以防止未授权的访问。

在 Apifox 中调试 WebSocket

如果你要调试 WebSocket 接口,并确保你的应用程序能够正常工作。这时,一个强大的接口测试工具就会派上用场。

Apifox 是一个比 Postman 更强大的接口测试工具,Apifox = Postman + Swagger + Mock + JMeter。它支持调试 http(s)、WebSocket、Socket、gRPC、Dubbo 等多种协议的接口,这使得它成为了一个非常全面的接口测试工具,所以强烈推荐去下载体验

首先在 Apifox 中新建一个 HTTP 项目,然后在项目中添加 WebSocket 接口。

接着输入 WebSocket 的服务端 URL,例如:ws://localhost:3000,然后保存并填写接口名称,然后确定即可。

点击“Message 选项”然后写入“你好啊,我是 Apifox”,然后点击发送,你会看到服务端和其它客户端都接收到了信息,非常方便,快去试试吧

以下用 Node.js 写的 WebSocket 服务端和客户端均收到了消息。

总结

通过本文的介绍,你应该对 WebSocket 鉴权有了更清晰的认识。不同的鉴权方式各有优劣,你可以根据具体情况选择最适合自己项目的方式。在保障通信安全的同时,也能提供更好的用户体验。

参考链接

学习更多:

文章标签:
测试技术
应用服务中间件
Dubbo
安全
JSON
关键词:
WebSocket最佳实践
游客rihqhtgkydneq
目录
相关文章
游客rihqhtgkydneq
|
5天前
|
应用服务中间件 网络安全 nginx
处理 WebSocket 连接失败的最佳实践
WebSocket 目前已经成为了一项极为重要的技术,其允许客户端和服务器之间进行实时、全双工的通信。然而,在实际项目中,开发者时常会遇到 WebSocket 连接失败的情况。这不仅影响了用户体验,还可能导致不可预见的系统错误或数据丢失。那么,造成 WebSocket 连接失败的原因有哪些?又该如何解决这些问题呢?本文将逐一分析常见的 WebSocket 连接失败原因,并提供详细的解决方案。
游客rihqhtgkydneq
10 0
爱吃糖的范同学
|
2月前
|
网络协议 前端开发 Java
SpringBoot 整合 WebSocket
WebSocket是基于TCP协议的一种网络协议,它实现了浏览器与服务器全双工通信,支持客户端和服务端之间相互发送信息。在有WebSocket之前,如果服务端数据发生了改变,客户端想知道的话,只能采用定时轮询的方式去服务端获取,这种方式很大程度上增大了服务器端的压力,有了WebSocket之后,如果服务端数据发生改变,可以立即通知客户端,客户端就不用轮询去换取,降低了服务器的压力。目前主流的浏览器都已经支持WebSocket协议了。
爱吃糖的范同学
189 0
青欢
|
10天前
|
前端开发 JavaScript 安全
集成WebSocket在Spring Boot中可以用于实现实时的双向通信
集成WebSocket在Spring Boot中可以用于实现实时的双向通信
青欢
28 4
weixin_836869520
|
2天前
|
监控 网络协议 Java
使用Spring Boot和WebSocket实现实时通信
使用Spring Boot和WebSocket实现实时通信
weixin_836869520
4 0
泥腿子架构师
|
3天前
|
监控 前端开发 网络协议
如何使用Spring Boot实现WebSocket通信
如何使用Spring Boot实现WebSocket通信
泥腿子架构师
5 0
米诺斯
|
5天前
|
Java
springboot集成websocket
springboot集成websocket
米诺斯
8 0
让线程再跑一会
|
19天前
|
移动开发 前端开发 JavaScript
SpringBoot 集成 WebSocket(2)
SpringBoot 集成 WebSocket
让线程再跑一会
59 0
让线程再跑一会
|
19天前
|
网络协议 JavaScript Java
SpringBoot 集成 WebSocket(1)
SpringBoot 集成 WebSocket
让线程再跑一会
48 0
蓝易云
|
2月前
|
前端开发 JavaScript Java
Springboot+Netty+WebSocket搭建简单的消息通知
这样,你就建立了一个简单的消息通知系统,使用Spring Boot、Netty和WebSocket实现实时消息传递。你可以根据具体需求扩展和改进该系统。
蓝易云
75 1
周盛欢
|
2月前
|
网络协议 Java Spring
Springboot 集成websocket
Springboot 集成websocket
周盛欢
37 0

热门文章

最新文章

  • 1
    java开发之使用websocket实现web客户端与服务器之间的实时通讯
  • 2
    Socket.IO – 基于 WebSocket 构建跨浏览器的实时应用
  • 3
    Spring WebSocket详解
  • 4
    saltstack event配合websocket客户端实时推送结果
  • 5
    Spring整合WebSocket(三)上
  • 6
    基于 WebSocket 实现 WebGL 3D 拓扑图实时数据通讯同步(一)
  • 7
    通过 WebSocket 实现 WebGL 3D 拓扑图实时数据通讯同步(二)
  • 8
    物联网协议对比(HTTP、websocket、XMPP、COAP、MQTT和DDS协议)
  • 9
    WebSocket的原理,以及和Http的关系
  • 10
    Tomcat 7的WebSocket实现(下)
  • 1
    《理解 WebSocket:Java Web 开发的实时通信技术》
    88
  • 2
    容器服务ACK常见问题之容器服务ACK ingress websocket配置失败如何解决
    122
  • 3
    【spring(六)】WebSocket网络传输协议
    44
  • 4
    浅谈WebSocket及如何搭建实时聊天系统
    209
  • 5
    windows下采用 nginx配置websocket支持wss流程
    204
  • 6
    【十五】springboot整合WebSocket实现聊天室
    65
  • 7
    【十四】springboot整合WebSocket
    68
  • 8
    WebSocket 技术详解
    116
  • 9
    uni-app 62websocket连接权限验证和强制下线
    40
  • 10
    流行的几种API接口模式:RESTful、GraphQL、gRPC、WebSocket、Webhook
    139

    • 相关课程

    更多
  • 负载均衡入门与产品使用指南
  • Nacos发展历程以及最佳实践
  • SAE的功能与使用入门
  • 开源微服务最佳实践
  • 云安全基础课- HTTP协议基础
  • Dubbo 3.0 服务治理最佳实践

    • 相关电子书

    更多
  • 云原生中间件精品案例集下载
  • API 平台的安全实践
  • API平台的安全实践

    • 相关实验场景

    更多
  • 每个IT人都想学的“Web应用上云经典架构”实战
  • 星轨SOP编排中心实战课程
  • 快速上手使用Dubbo进行远程调用
  • 通过部署流行Web框架掌握Serverless技术
  • RocketMQ的常规运维实践应用
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)