我正在尝试将客户端验证到我的安全WebSocket服务器(wss)以获取注册的成员区域.
一旦成员连接到Web服务器,我就会在数据库中记录一个唯一的令牌(与成员关联),该令牌显示在启动与Web Socket服务器连接的页面上的隐藏字段中.
然后将令牌发送到WebSocket服务器,该服务器使用令牌对帐户进行身份验证.
我真的不是安全专家,我希望您对我的身份验证的安全性有所了解.
是否存在任何风险(除了cookie劫持)?考虑到WebSocket没有规定服务器可以在WebSocket握手期间对客户端进行身份验证的任何特定方式,还有更好的方法可以继续.
我使用Ratchet WebSocket.