那些遇到过的问题

WebSocket身份验证安全性

Pie*_*ard 15 security authentication websocket

我正在尝试将客户端验证到我的安全WebSocket服务器(wss)以获取注册的成员区域.

一旦成员连接到Web服务器,我就会在数据库中记录一个唯一的令牌(与成员关联),该令牌显示在启动与Web Socket服务器连接的页面上的隐藏字段中.

然后将令牌发送到WebSocket服务器,该服务器使用令牌对帐户进行身份验证.

我真的不是安全专家,我希望您对我的身份验证的安全性有所了解.

是否存在任何风险(除了cookie劫持)?考虑到WebSocket没有规定服务器可以在WebSocket握手期间对客户端进行身份验证的任何特定方式,还有更好的方法可以继续.

我使用Ratchet WebSocket.

obe*_*tet 7

是的,一种选择是使用cookie(以及TLS以避免cookie劫持):

在"普通的基于HTML格式的"登录之后设置cookie,将cookie传输到WebSocket服务器,并使用cookie来验证WebSocket.

下面是一个完整的例子做的Mozilla的假面与WebSocket的基于身份验证.

你问过Ratchet.这个例子不是Ratchet,但它可能会给你一些线索 - 这就是我认为可以指出的原因.

归档时间:

查看次数:

27010 次

最近记录:

8 年,10 月 前
Websocket身份验证 12
更多相关链接
相关归档
没有HTTPS登录,如何安全? 75
我应该使用用户名或用户ID来引用ASP.NET中经过身份验证的用户 30
从Web应用程序调用FB.login()时,官方Facebook iOS应用程序总是崩溃 8
同源策略:允许写入吗? 6
AccountManager不允许在应用程序中添加新帐户(调用者uid与身份验证者的uid不同) 5
我应该阻止 HTTP 1.0 请求吗? 5
为 Android 实现指纹认证 5
Firebase Auth将匿名身份验证用户与自定义身份验证用户相关联 5
Firebase Phone Auth不会通过我的代码向我发送短信 5
如何限制对特定位置/计算机的Web应用程序访问? 2
难疑归档
适用于Android UserManager.isUserAGoat()的用例? 3506
为什么Python 3中的"1000000000000000在范围内(1000000000000001)"如此之快? 1890
如何将多行中的文本连接成SQL Server中的单个文本字符串? 1813
从客户端检测到潜在危险的Request.Form值 1437
为什么Dictionary优先于Hashtable? 1348
如何从其他线程更新GUI? 1331
varchar和nvarchar有什么区别? 1300
用于更新和删除的HTTP状态代码? 1264
endsWith在JavaScript中 1085
致命错误:Python.h:没有这样的文件或目录 1042