间谍机构 3.0:如何通过 JWT 认证确保 WebSockets 安全
在之前的文章中,我们探讨了如何通过 WebSockets + DTOs 设计实时操作。现在,我们迎来了一项新的挑战:确保 WebSocket 通信在任务执行过程中保持安全。如果敌方潜伏在我们的实时通信渠道中,机密情报可能会被泄露。
任务: 实现 JWT 认证,确保只有 授权特工 能访问我们的网络。我们开始行动!
1️⃣ 为什么要保护 WebSockets?
![为什么要保护 WebSockets?]
WebSockets 允许 即时双向通信,但如果没有适当的安全措施,敌方特工可能会:
- 拦截传输(敏感情报泄露)
- 冒充特工(会话劫持)
- 发起未授权攻击(破坏任务关键数据)
🔹 你的目标: 在建立连接之前,使用 JWT 对每个特工进行 身份认证!
2️⃣ JWT + WebSockets 如何协同工作
步骤 1:特工认证(JWT 发行)
在特工能够访问 WebSocket 任务频道之前,必须先进行身份认证并获得授权。
1. 特工通过安全的 API 登录总部
- 特工提供其 操作凭证(例如,用户名和密码或多因素认证)。
- 请求通过 HTTPS 发送,以防止监听。
- 示例 API 请求:
POST /api/auth/login Content-Type: application/json { "username": "AgentX", "password": "TopSecret123" }
2. 服务器验证凭证并发放 JWT 令牌
- 如果认证成功,服务器生成一个 JWT(JSON Web Token),其中包含:
- 特工的 唯一 ID
- 特工的 授权级别
- 一个 过期时间 用于强制会话时限
JWT 使用 私钥 签名,以防篡改。
示例 JWT 负载:
{ "sub": "AgentX", "role": "field-operative", "exp": 1714598400 }
3. 特工接收 JWT 令牌
特工在成功认证后,服务器会将 JWT 令牌作为 HTTP-only Cookie 返回给客户端。
更安全的方法: 服务器 设置一个 HTTP-only cookie,确保它随着请求自动发送。
示例 HTTP 响应(使用 Cookie 方法):
HTTP/1.1 200 OK
Set-Cookie: jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...; HttpOnly; Secure; SameSite=Strict
4. 特工如何处理 JWT 令牌
- 浏览器 自动存储 Cookie,并在随后的请求中自动附带。
- 不需要客户端手动存储令牌。
- 令牌对 JavaScript 不可访问,防止 XSS 攻击。
客户端示例(无需手动存储 JWT):
fetch("https://hq-secure.com/api/auth/login", {
method: "POST",
credentials: "include", // 确保发送 Cookie
headers: {
"Content-Type": "application/json" },
body: JSON.stringify({
username: "AgentX", password: "TopSecret123" }),
})
.then(response => {
if (response.ok) console.log("登录成功,JWT 存储在 HttpOnly Cookie 中!");
})
.catch(error => console.error("认证失败", error));
缺点: WebSockets 不会自动附带 Cookie,因此客户端需要 手动获取 JWT,并在连接 WebSocket 时附上。
步骤 2:建立安全的 WebSocket 连接
一旦认证通过,特工必须在建立 WebSocket 连接时提供 JWT 令牌。
1. 特工在连接请求时提供 JWT
- WebSocket 客户端将 JWT 放入请求头 或作为 查询参数。
- 示例 WebSocket 连接请求:
const socket = new WebSocket("wss://hq-secure.com/missions?token=eyJhbGciOiJIUzI1...");
2. WebSocket 服务器在建立连接前验证 JWT
- 服务器 提取并验证 JWT,检查:
- 签名完整性(确保未被篡改)
- 过期时间(拒绝过期令牌)
- 特工的授权级别(仅允许授权访问)
- 如果 JWT 无效或过期,连接会被拒绝。
3. 访问控制:授权或拒绝
- ✅ 如果有效,WebSocket 连接建立,特工可以接收任务更新。
- ❌ 如果无效或过期,服务器 立即关闭连接。
- 示例服务器端验证:
if (!isValidJWT(token)) { socket.close(4001, "未经授权:无效令牌"); }
通过强制 基于 JWT 的认证,我们确保只有 授权特工 可以访问任务数据,同时维持 安全的实时通信。
3️⃣ 在 Node.js 中实现 JWT + WebSockets
步骤 1:安装所需工具
npm install express socket.io jsonwebtoken cors
步骤 2:生成和验证 JWT 凭证
const jwt = require("jsonwebtoken");
const SECRET_KEY = "top_secret_mission_code"; // 🔥 保持机密!
// 生成安全的授权令牌
function generateToken(agent) {
return jwt.sign({
id: agent.id, codename: agent.codename }, SECRET_KEY, {
expiresIn: "1h" });
}
// 验证特工授权
function verifyToken(token) {
try {
return jwt.verify(token, SECRET_KEY);
} catch (err) {
return null;
}
}
步骤 3:WebSocket 总部 - 仅接受授权特工
const express = require("express");
const http = require("http");
const {
Server } = require("socket.io");
const app = express();
const server = http.createServer(app);
const io = new Server(server, {
cors: {
origin: "*" } });
// 安全的 WebSocket 通信
io.use((socket, next) => {
const token = socket.handshake.auth.token;
const agent = verifyToken(token);
if (!agent) return next(new Error("未经授权的访问 - 授权失败!"));
socket.agent = agent; // 将特工信息附加到会话
next();
});
io.on("connection", (socket) => {
console.log(`特工已连接: ${
socket.agent.codename}`);
socket.on("message", (msg) => {
console.log(`来自 ${
socket.agent.codename} 的传输: ${
msg}`);
});
socket.on("disconnect", () => {
console.log(`特工断开连接: ${
socket.agent.codename}`);
});
});
server.listen(3000, () => console.log("安全 WebSocket 总部在端口 3000 上运行"));
✅ 现在,只有经过验证的特工才能建立安全的通信通道!
4️⃣ 现场特工设置:连接到安全的 WebSocket
步骤 1:安装 WebSocket 客户端模块
npm install socket.io-client
步骤 2:现场特工连接总部
import {
io } from "socket.io-client";
const clearanceToken = localStorage.getItem("jwt"); // 获取安全令牌
const socket = io("http://localhost:3000", {
auth: {
token: clearanceToken },
});
socket.on("connect", () => {
console.log("✅ 与总部建立了安全通道!");
});
socket.on("message", (msg) => {
console.log("收到的传输:", msg);
});
socket.on("disconnect", () => {
console.log("安全通道丢失!正在重试...");
});
✅ 现在,只有拥有有效清除令牌的特工才能访问任务更新!
5️⃣ 特工安全协议:最佳实践
✅ 使用 HTTP-only Cookies 存储 JWT(防止敌人 XSS 攻击)。
✅ 设置短生命周期令牌(例如 1 小时有效期),以减少安全风险。
✅ 实施刷新令牌,以便令牌过期后,特工能够重新认证。
✅ 加密 WebSocket 通道(WSS) 使用 SSL/TLS 保障通信安全。
✅ 监控并记录所有 WebSocket 连接,以检测可疑活动。
6️⃣Apipost 如何提供帮助
Apipost 是一款强大的工具,可帮助你实时测试、调试和监控 WebSocket 通信。
Apipost 的好处:
- 一体化 API 解决方案 → 设计、测试、调试、CI/CD 集成、模拟服务、无缝文档化 —— 一应俱全。
- 无需登录 → 直接开始使用,无需账号注册。
- 智能认证 → 内置支持 OAuth 2.0、JWT Bearer、AWS 签名、基本认证等。
- 支持多种通信协议 → 支持 HTTP、GraphQL、WebSocket、TCP、SSE 等。
任务完成:为什么选择 JWT + WebSockets?
| 安全特性 | 任务收益 |
|---|---|
| JWT 认证 | 确保只有授权特工可以连接 |
| 无 API 轮询需求 | 减少总部服务器负担 |
| 安全的实时更新 | 保护机密情报 |
| 持久身份 | 保持断开重连后的会话 |
总部指令: 你现在具备了利用 JWT 和 WebSockets 构建 安全实时网络 的能力。将这一策略部署到实战中,确保没有未经授权的访问!
