Authentication 在每个WebSocket(或TCP)请求中发送令牌
我正在开发一个使用WebSocket的客户机-服务器应用程序。我已经用JWT实现了基于令牌的身份验证。一旦我的客户端有了有效的令牌,就会无限期地打开WebSocket连接 在每个请求中发送令牌是一个好主意吗?有没有可能有人劫持连接 我的问题实际上适用于任何需要身份验证的基于TCP的连接 有没有可能有人劫持连接。。。我的问题实际上适用于任何需要身份验证的基于TCP的连接Authentication 在每个WebSocket(或TCP)请求中发送令牌,authentication,tcp,websocket,Authentication,Tcp,Websocket,我正在开发一个使用WebSocket的客户机-服务器应用程序。我已经用JWT实现了基于令牌的身份验证。一旦我的客户端有了有效的令牌,就会无限期地打开WebSocket连接 在每个请求中发送令牌是一个好主意吗?有没有可能有人劫持连接 我的问题实际上适用于任何需要身份验证的基于TCP的连接 有没有可能有人劫持连接。。。我的问题实际上适用于任何需要身份验证的基于TCP的连接 是的,有可能劫持现有的TCP连接,或者当你启动一个新的TCP连接时,只是中间人。针对这种情况的保护措施不是在每条消息中发送身份验
是的,有可能劫持现有的TCP连接,或者当你启动一个新的TCP连接时,只是中间人。针对这种情况的保护措施不是在每条消息中发送身份验证,因为攻击者可以简单地复制这些消息。相反,在WebSocket或TLS、IPSec或其他类似情况下,使用加密,即wss://。这些攻击既保护了中间人的主动攻击,也防止了被动嗅探。没有加密的认证充其量是可疑的。