在每个 WebSocket(或 TCP)请求中发送令牌

【问题标题】:Send token in every WebSocket (or TCP) request在每个 WebSocket(或 TCP)请求中发送令牌
【发布时间】:2016-04-02 14:33:26
【问题描述】:

我正在开发一个使用 WebSocket 的客户端-服务器应用程序。我已经使用 JWT 实现了基于令牌的身份验证。一旦我的客户拥有一个有效的令牌,一个 WebSocket 连接就会无限期地打开

在每个请求中发送令牌是个好主意吗?有没有人可以劫持连接?

我的问题实际上适用于任何需要身份验证的基于 TCP 的连接。

【问题讨论】:

  • 没有加密的身份验证充其量是有问题的。

标签: authentication tcp websocket


【解决方案1】:

是否有任何人劫持连接? ...我的问题实际上适用于任何需要身份验证的基于 TCP 的连接。

是的,可以劫持现有的 TCP 连接,或者在您启动新连接时充当中间人。对此的保护措施不是在每条消息中发送身份验证,因为攻击者可以简单地复制这些身份验证。而是使用加密,即 wss:// 在 WebSocket 或 TLS 的情况下,IPSec 或其他情况下的类似情况。这些可以防止主动中间人攻击(劫持)和被动嗅探。

【讨论】:

    猜你喜欢
    • 2012-12-29
    • 2012-12-21
    • 1970-01-01
    • 1970-01-01
    • 2012-11-04
    • 1970-01-01
    • 1970-01-01
    • 2020-01-25
    • 2022-11-23
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode