【发布时间】:2020-04-24 10:07:25
【问题描述】:
经过一番研究 知道 websocket 比 https 方法 post and get 更轻 但是在安全性方面,post 比 websocket 更安全。 因为即使我的服务器重新启动(注销)我仍然可以使用网络套接字
在这种情况下,我发现它无法检查该特定用户是否是经过身份验证的用户。 或者我错了。 请纠正我。
我使用 express js 和 https,我使用 https post 做了一些操作。 (在这里套接字自动使用安全连接作为 https)但问题是身份验证
所以我的问题是。 我想把它们变成 websocket 作为它的打火机。 网络套接字可以检查一个发送是否经过身份验证并且会话仍然处于活动状态(例如注销的用户无法发出)?
还是我应该坚持使用 https 帖子?
如果有办法验证发出的套接字(从客户端到服务器)...请在这里与我分享
非常感谢
【问题讨论】:
-
您可以在 websocket 上实现身份验证,其方式与在 http 上执行的方式几乎相同:通过发送令牌。您只需要以不同的方式序列化输入/输出数据。由于 ws 是有状态的,与 http 不同,ws 还为您提供了其他无法通过 http 获得的身份验证机制。例如。验证一次,让服务器记住这个连接是经过验证的。