概述
WebSocket作為一種通信協(xié)議引入到Web應(yīng)用中�,并不會(huì)解決Web應(yīng)用中存在的安全問(wèn)題�,因此WebSocket應(yīng)用的安全實(shí)現(xiàn)是由開(kāi)發(fā)者或服務(wù)端負(fù)責(zé)����。這就要求開(kāi)發(fā)者了解WebSocket應(yīng)用潛在的安全風(fēng)險(xiǎn)��,以及如何做到安全開(kāi)發(fā)規(guī)避這些安全問(wèn)題�����。
認(rèn)證
使用JWT進(jìn)行身份認(rèn)證是一種常見(jiàn)的做法���,因?yàn)樗梢苑奖愕卦诳蛻舳撕头?wù)器之間傳遞用戶的身份信息。在WebSocket通信中����,可以通過(guò)URL地址傳遞令牌參數(shù)來(lái)實(shí)現(xiàn)JWT身份認(rèn)證����。
服務(wù)端
GatewayWorker
GatewayWorker是基于Workerman開(kāi)發(fā)的一個(gè)可分布式部署的TCP長(zhǎng)連接框架����,專(zhuān)門(mén)用于快速開(kāi)發(fā)TCP長(zhǎng)連接應(yīng)用,例如app推送服務(wù)端�、即時(shí)IM服務(wù)端、游戲服務(wù)端�、物聯(lián)網(wǎng)����、智能家居等等.
安裝地址:https://www.workerman.net/doc/gateway-worker
生成令
安裝jwt插件
composer require tinywan/php-jwt
生成一個(gè)訪問(wèn)令牌
<?php
/**
* @desc JWT
* @author Tinywan(ShaoBo Wan)
*/
declare(strict_types=1);
require'vendor/autoload.php';
// Your secret key (keep this secure)
$secretKey = 'Tinywan2050040000011';
// Create an instance of Jwt
$jwt = new \Tinywan\Jwt($secretKey);
// Create a JWT
$payload = [
"user_id" => 20501000001,
"username" => 'Tinywan',
"exp" => time() + 3600, // Token expiration time (1 hour)
];
$token = $jwt->createToken($payload);
var_dump($token);
執(zhí)行輸出
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJ1c2VyX2lkIjoyMDUwMTAwMDAwMSwidXNlcm5hbWUiOiJUaW55d2FuIiwiZXhwIjoxNzQ5OTk5NTU1fQ.
om7PERuIAzEfPoEui1wJd40M4QJ-CE5gMisiG7Gc0NY
服務(wù)端認(rèn)證 ??
WebSocket 接入連接后����,服務(wù)端將解析 URL 參數(shù)中的Authorization令牌.
// 當(dāng)客戶端連接上來(lái)時(shí),設(shè)置連接的onWebSocketConnect���,即在websocket握手時(shí)的回調(diào)
$gateway->onConnect = function ($connection) {
$connection->onWebSocketConnect = function ($connection, $http_header)
{
// Your secret key (keep this secure)
$secretKey = 'Tinywan2050040000011';
// Create an instance of Jwt
$jwt = new \Tinywan\Jwt($secretKey);
// 獲取URL參數(shù)中的Authorization
$token = $_GET['Authorization'];
// Validate and decode the JWT
if ($jwt->validateToken($token)) {
echo'JWT is valid.' . PHP_EOL;
$decodedPayload = $jwt->decodeToken($token);
echo"Decoded Payload: " . json_encode($decodedPayload, JSON_PRETTY_PRINT) . PHP_EOL;
var_dump(json_decode(json_encode($decodedPayload), true));
} else {
echo'JWT is invalid.' . PHP_EOL;
return $connection->close();
}
returntrue;
};
};
客戶端
在WebSocket通信中加入Token主要是為了實(shí)現(xiàn)身份驗(yàn)證和授權(quán)���,確保只有經(jīng)過(guò)驗(yàn)證的用戶可以建立WebSocket連接。由于WebSocket API本身不支持直接在連接時(shí)設(shè)置HTTP頭部����,因此需要采用一些變通的方法來(lái)傳遞Token。這里將認(rèn)證令牌參數(shù)Authorization放入 URL 參數(shù)中�。
連接地址格式如下:
ws://后端IP:端口/?Authorization=Bearer eyJ0eXAi...
調(diào)試案例
var ws = new WebSocket('ws://127.0.0.1:8782/?Authorization={{token}}');
ws.onmessage = function(event) {
console.log('開(kāi)源技術(shù)小棧接收消息: ' + event.data);
};
如果服務(wù)端支持請(qǐng)求頭認(rèn)證,也可使用如下形式傳參:
headers:{
Authorization:"Bearer "+getToken(),
}
令牌認(rèn)證
var ws = new WebSocket('ws://127.0.0.1:8782/?Authorization={{token}}');
ws.onmessage = function(event) {
console.log('開(kāi)源技術(shù)小棧接收消息: ' + event.data);
};
客戶端連接截圖
服務(wù)端認(rèn)證結(jié)果
JWT is valid.
Decoded Payload: {
"user_id": 20501000001,
"username": "Tinywan",
"exp": 1749999555
}
/var/www/webman/GatewayWorker/Applications/YourApp/start_gateway.php:49:
array(3) {
'user_id' =>
int(20501000001)
'username' =>
string(7) "Tinywan"
'exp' =>
int(1749999555)
}
參考
?
閱讀原文:https://mp.weixin.qq.com/s/OOVBmJt2BQYckerTn15gbg
該文章在 2025/6/17 18:14:37 編輯過(guò)
400 186 1886
