Javascript Web套接字身份验证,使用查询参数是否足够安全?
我们正在开发一个web应用程序,它将通过websocket获取一些数据。我们通过SSL从CloudFront提供服务,后端在AWS上。我们使用Cognito对用户进行身份验证以登录应用程序,并且我们还希望使用Cognito令牌为websocket设置身份验证。此外,我们希望令牌成为第一次连接尝试的一部分,这样我们就不会打开与任何人的连接,然后等待包含auth的魔法消息,这可能会导致DDoS攻击 第一个想法是将令牌添加到授权头中,但是websocket标准不支持添加头 其次,我们考虑使用令牌添加一个X-Authorization cookie,这样cookie将作为打开套接字请求的一部分发送。这可能是因为在开发过程中,cookie域被设置为localhost,并且不会发送到aa.bb.com的websocket url 我们的下一步是将令牌作为查询参数附加到URL,它似乎正在工作Javascript Web套接字身份验证,使用查询参数是否足够安全?,javascript,websocket,Javascript,Websocket,我们正在开发一个web应用程序,它将通过websocket获取一些数据。我们通过SSL从CloudFront提供服务,后端在AWS上。我们使用Cognito对用户进行身份验证以登录应用程序,并且我们还希望使用Cognito令牌为websocket设置身份验证。此外,我们希望令牌成为第一次连接尝试的一部分,这样我们就不会打开与任何人的连接,然后等待包含auth的魔法消息,这可能会导致DDoS攻击 第一个想法是将令牌添加到授权头中,但是websocket标准不支持添加头 其次,我们考虑使用令牌添加一
现在,我的问题是,这是否足够安全,或者我们应该考虑一些类似于两步的方法,首先从另一个端点得到令牌,然后在打开websocket时使用该参数作为查询参数?
只要您的流量通过SSL,那么无论使用什么方法,任何解决方案都具有与SSL相同的安全性,即GET、POST…这就是我们所想的,但在安全性方面,询问一下是没有坏处的:D