为 WebSocket 连接更新令牌的最佳做法是什么

Question

这可能是基于意见的，但我仍然想知道是否有最佳做法，因为我对 websocket 做法几乎一无所知

我有一个 SPA，它从我自己的 OP 获取 JWT 令牌。然后它使用该 JWT 连接到我使用 REST 和 WebSockets 拥有的其他服务。

就 REST 而言，它非常简单：

• REST API 验证 JWT（以 Authorization: Bearer ... 发送）并提供对受保护资源的访问权限或以 401 响应，让 SPA 知道它需要请求新令牌。

现在有了 websocket：

在加载 SPA 期间，一旦我得到一个令牌，我就会向我的 web 服务打开一个 WS。我发送的第一条消息是带有我的 JWT 的 login_message，然后我将其保存在服务器的 websocket 实例上以了解谁在发送消息。 我收到的每条后续消息都会验证 JWT 以查看它是否已过期。

据我了解，一旦过期，我将面临两种选择：

1. 删除带有某种token_expired 错误的 websocket，并在令牌刷新后强制浏览器建立新的 websocket 连接。

2. 保持 websocket 打开，返回错误消息并发送新的登录消息（一旦刷新令牌）

3. 不要使用登录消息，而只是在每个请求中发送 JWT。

问题：您会推荐哪种方法，为什么？在安全性和性能方面。还有其他我没有列出的常见做法吗？

Answer 1

我问了一个很老的问题，所以我很乐意分享我们选择的做法：

1. 一旦客户端第一次得到他的JWT（应用程序启动时），就会打开一个WebSocket。

2. 为了验证通道，我们发送一条我们定义为协议一部分的消息，称为authMessage，其中包含JWT。

3. 服务器将此数据存储在套接字的实例中，并在通过网络发送数据或从客户端接收数据之前验证其有效性/到期。

4. 令牌在过期前几分钟内会在 Web 应用程序中静默刷新，并向服务器发出另一个 authMessage（从第 2 步开始重复）。

5. 如果由于某种原因它在更新之前过期，服务器将关闭该套接字。

这大致是我们在应用程序中实现的（没有优化）并且对我们非常有效。

Answer 2

Oauth2 流程有两个选项来更新令牌。正如您所说，这些选项中的一个是提示消息，用于强制执行新的登录过程。

另一种选择是使用 refresh_token，您将在每次会话到期时避免对用户进行此登录过程并以静默方式更新令牌。

在这两种情况下，您都需要将 jwt 存储在客户端中（通常在登录后）并更新它（在交互式登录或静默重新生成后）。本地存储、存储或只是一个简单的全局变量是处理存储和更新客户端中的 jwt 的替代方法。

正如我们所见，jwt 再生是按照 oauth2 规范解决的，并在客户端执行，在您的情况下是 SPA。

所以下一个问题是：如何将这个 jwt（新的或更新的）传递给外部资源（经典的 rest api 或您的 websocket）？

经典的 Rest Api

在这种情况下，您可能知道，使用 http 标头发送 jwt 很容易。在每个 http 调用中，我们可以发送旧的/有效的 jwt 或更新的 jwt 作为标头，通常是Authorization: Bearer ...

Websocket

在这种情况下，这并不容易，因为根据快速审查，没有明确的方法来更新标题或任何其他“元数据”一旦建立连接：

• how to pass Authorization Bearer access token in websocket javascript client
• HTTP headers in Websockets client API

更重要的是，没有标头的概念，因此您需要使用以下方式将此信息（在您的情况下为 jwt）发送到您的 websocket：

• 协议

var ws = new WebSocket("ws://example.com/path", ["protocol1", "protocol2"]);

• cookies

document.cookie = 'MyJwt=' + jwt + ';'
var ws = new WebSocket(
    'wss://localhost:9000/wss/'
);

• 简单获取参数

var ws = new WebSocket("ws://example.com/service?key1=value1&key2=value2");

Websocket 只接收文本

并且根据以下链接，websocket可以提取header，获取参数和协议就在稳定阶段：

• https://medium.com/hackernoon/implementing-a-websocket-server-with-node-js-d9b78ec5ffa8
• https://www.pubnub.com/blog/nodejs-websocket-programming-examples/
• https://medium.com/@martin.sikora/node-js-websocket-simple-chat-tutorial-2def3a841b61

之后，websocket 服务器只接收文本：

const http = require('http');
const WebSocketServer = require('websocket').server;
const server = http.createServer();
server.listen(9898);
const wsServer = new WebSocketServer({
    httpServer: server
});
wsServer.on('request', function(request) {
    const connection = request.accept(null, request.origin);
    connection.on('message', function(message) {
      //I can receive just text 
      console.log('Received Message:', message.utf8Data);
      connection.sendUTF('Hi this is WebSocket server!');
    });
    connection.on('close', function(reasonCode, description) {
        console.log('Client has disconnected.');
    });
});

在每个请求中发送 jwt

在分析了前面的主题之后，将新的 o renew 令牌发送到您的 websocker 后端的唯一方法是在每个请求中发送它：

const ws = new WebSocket('ws://localhost:3210', ['json', 'xml']);
ws.addEventListener('open', () => {
  const data = {
         jwt: '2994630d-0620-47fe-8720-7287036926cd',
         message: 'Hello from the client!' 
     }
  const json = JSON.stringify(data);
  ws.send(json);
});

未涵盖的主题

• 如何使用 refresh_token 执行 jwt 重新生成
• 如何处理静默再生

如果您需要这个未涵盖的主题，请告诉我。