Authentication 使用令牌对websocket客户端进行身份验证？

我想为我的注册用户提供基于websocket的服务。 网站前端在服务器A上运行，WebSocket服务在服务器B上运行

我想确保服务器B不会向未经服务器A身份验证的用户授予访问权限。我还想避免会话被劫持

我提出了这种方法，但从未实现WebSocket的安全性。 这可能是个好办法吗

• 当客户端想要连接到我的WebSocket时，服务器a请求 来自服务器B的令牌。服务器B将生成此令牌并发送 它将返回到服务器A

• 服务器B将把令牌存储在缓存中

• 现在允许客户端连接到WebSocket。客户 第一条消息包含令牌

• 服务器B检查是否可以在缓存中找到令牌，然后 令牌是否已由活动会话使用

• 如果一切正常，客户将被注册并被允许 使用该服务

这是一个好方法吗？有没有更好的解决方案，我不必自己实施

我读过这个解决方案：

---

但是，由于我的用户每分钟最多发送500条消息（这是可能的最高值，但仍然可能），我认为这可能会造成一些麻烦…

cookies有什么问题

如果两台服务器位于同一个二级域（web.example.com和websocket.example.com），它们可以共享cookie

websocket连接将在协商期间发送该二级域的现有cookie

因此，您可以在web服务器中执行身份验证，返回身份验证cookie，然后websocket将再次将该cookie发送到服务器。websocket服务器应该能够打开和读取cookie

“每分钟500条消息”是每秒8条消息，这应该不是问题。一旦建立Websocket连接，就不会为每条消息建立新连接。websocket与webservice不同

---

干杯。

谢谢你的回答。你认为我怎样才能避免CORS攻击？我应该在第一条消息中发送会话cookie，还是在建立连接时有方法发送该信息？cookie在连接时发送，作为握手的一部分。您应该使用安全令牌作为cookie值，那么安全模型与普通web应用中的安全模型相同。当我的服务器位于同一个二级域上时，HttpSession ID是否相同？在这种情况下，我甚至不需要cookie，对吗？可能会话id已经在cookie中了。检查您的平台如何处理会话，但可能已经有用于会话和身份验证管理的工具。您好，我刚听了您的回答，但我面临一个问题。如何将cookie发送到websocket服务器？我希望在握手时执行此操作，但我认为没有httpsession可阅读。你能看一下吗？这能回答你的问题吗？