Tôi đang thiết lập máy chủ Node.js để liên lạc với WebSockets với ứng dụng web của tôi. Tôi đã lên kế hoạch sử dụng JSON Web Tokens để giới hạn quyền truy cập chỉ cho những người dùng đã được xác thực với ứng dụng web của chúng tôi. Trong khi nghiên cứu, tôi gặp khó khăn khi tìm gói WebSocket cho Node.js hỗ trợ cài đặt phía máy khách của tiêu đề Authorization
và sử dụng nó trên cuộc gọi kết nối ban đầu?Chuyển JWT tới WebSocket của Node.js trong tiêu đề Cấp quyền trên kết nối ban đầu
Tôi thường xuyên xem các đề xuất để chuyển mã thông báo thông qua tham số truy vấn, điều này có thể kém an toàn hơn khi chuyển mã thông báo qua tiêu đề Authorization
. Tui bỏ lỡ điều gì vậy? Có bất kỳ thư viện WebSocket tốt, được duy trì tốt nào cho phép đặt phía máy khách tiêu đề Authorization
để tôi có thể ngăn chặn các kết nối không mong muốn đến máy chủ không?
Tôi đang cố gắng tìm ra điều tương tự. Theo tôi có thể nói trình duyệt sẽ xử lý tất cả các tiêu đề và không cung cấp cách thay đổi chúng. Tôi đang cố thêm một mã thông báo vào chuỗi truy vấn trên URL kết nối, nhưng tôi đang cố gắng lấy thông tin đó ở cuối máy chủ (node.js với thư viện ws). Tôi không nghĩ rằng một param truy vấn là bất kỳ kém an toàn. Làm thế nào bạn làm điều đó? – Rog
Tôi đã làm việc đó một chút. Với chuỗi truy vấn? Jwt = blah ... var token = url.parse (ws.upgradeReq.url, true) .query.jwt; – Rog
nhưng điều đó sẽ phơi bày quyền jwt? –