Websocket 安全

Question

我正在寻找使用 WebSockets 与我们的服务器通信来实现 web（角度）和 iPhone 应用程序。在过去使用 HTTP 请求时，我们使用请求数据、url、时间戳等的哈希值来验证和保护请求。

据我所知，我们无法使用 WebSockets 请求发送标头，因此我想知道如何保护每个请求。

有人有什么想法或好的做法吗？

Answer 1

为了保护您的消息，请使用基于 SSL/TLS 的 WebSockets（wss:// 而不是 ws://）。不要推出自己的加密货币。

关于身份验证。 HTTP 和 WebSockets 的最大区别在于 HTTP 是无状态协议，而 WebSockets 不是。

使用 HTTP，您必须随每个请求发送标头（cookie、令牌等）。使用 WebSockets，您可以建立连接。在第一次交互中，您可以对客户端进行身份验证，而对于连接的其余部分，您知道客户端已通过身份验证。

Heroku 的人员描述了一种模式，其中客户端使用 HTTP 进行身份验证，获取票证，然后通过 WebSocket 连接将该票证作为第一条消息发送。见https://devcenter.heroku.com/articles/websocket-security

Answer 2

我同意 SSL/TLS wss:// 连接。始终使用加密流量。有几种方法可以实现身份验证。看这里： http://simplyautomationized.blogspot.com/2015/09/5-ways-to-secure-websocket-rpi.html

大多数示例都使用 python 或 nodejs，并针对 Raspberry Pi，但一般概念是值得考虑的好主意。帖子中有指向 SocketRocket 帮助程序库的链接，该库允许您将身份验证插入 auth 标头 (SocketShuttle)。

Answer 3

与服务器进行安全通信包括对双方进行身份验证。如果您需要通过一个通信渠道为不同的用户提供不同的身份验证凭据（这在当今是一种罕见的想法），您将需要单独的身份验证。否则，您只需要提出密钥分配方案（以便您的应用程序知道您的服务器的公钥，并且您的服务器有一个了解客户端公钥的协议，这有很多模式）。

为此，有一个比 SSL 或您自己的加密货币更宽的选择梯度（尽量避免不惜一切代价编写自己的加密货币）。

对于堆栈的 webserver-to-browser 部分，SSL 是您唯一的选择，但不应将其视为一种良好的安全措施，每年都会出现越来越多的漏洞、密码退化案例和信任问题。它承载了 20 年糟糕的工程决策和紧急修复的包袱，所以如果你能得到更好的东西 - 这是值得的。不过，对于普通网站来说，这总比没有好。

在您的移动应用程序中，您可以轻松地使用众多加密库之一，这些库提供与服务器的安全会话消息传递，具有更高的安全保证，无需依赖：

• https://github.com/mochtu/libsodium-ios, libsodium-ios 是 NaCl 的 ios 包装器，是最好的现代密码库之一，对 ECC 密码学有很多新颖的实现，在学术界受到高度评价圈子，由一个热衷于在任何情况下都有最佳表现的疯子写的（简而言之：我喜欢它:)）。

• Themis，我参与的一个项目，我们的库非常适合 ObjC 的 iOS 版本，以及在 iOS 中通过 websockets 进行安全流量的便捷教程：@ 987654322@

Answer 4

您应该使用 SSL/TLS 保护您的连接，并使用 https over http 和 wss over ws。为了进行身份验证/授权，您可以将查询参数添加到 websocket 连接，还可以添加用户名/密码等内容。 例如：

wss://example.com/path?username=password=anotherParam=99ace112-dd56-427e-ba3d-9dd23e9c7551

是的，在 js 中您不能添加任意标头，但您可以将协议和 Sec-WebSocket-Protocol 标头添加到您的 websocket 连接，并在服务器端基于 websocket 协议对用户进行身份验证/授权