在之前的文章中,我们探讨了如何通过 WebSockets + DTOs 设计实时操作。现在,我们迎来了一项新的挑战:确保 WebSocket 通信在任务执行过程中保持安全。如果敌方潜伏在我们的实时通信渠道中,机密情报可能会被泄露。
任务: 实现 JWT 认证,确保只有 授权特工 能访问我们的网络。我们开始行动!
1️⃣ 为什么要保护 WebSockets?
WebSockets 允许 即时双向通信,但如果没有适当的安全措施,敌方特工可能会:
拦截传输(敏感情报泄露)
冒充特工(会话劫持)
发起未授权攻击(破坏任务关键数据)
🔹 你的目标: 在建立连接之前,使用 JWT 对每个特工进行 身份认证!
2️⃣ JWT + WebSockets 如何协同工作
步骤 1:特工认证(JWT 发行)
在特工能够访问 WebSocket 任务频道之前,必须先进行身份认证并获得授权。
1. 特工通过安全的 API 登录总部
特工提供其 操作凭证(例如,用户名和密码或多因素认证)。
请求通过 HTTPS 发送,以防止监听。
示例 API 请求:
POST /api/auth/loginContent-Type: application/json { "username": "AgentX", "password": "TopSecret123" }
2. 服务器验证凭证并发放 JWT 令牌
如果认证成功,服务器生成一个 JWT(JSON Web Token),其中包含:
特工的 唯一 ID
特工的 授权级别
一个 过期时间 用于强制会话时限
JWT 使用 私钥 签名,以防篡改。
示例 JWT 负载:
{"sub":"AgentX","role":"field-operative","exp":1714598400}
3. 特工接收 JWT 令牌
特工在成功认证后,服务器会将 JWT 令牌作为 HTTP-only Cookie 返回给客户端。
更安全的方法: 服务器 设置一个 HTTP-only cookie,确保它随着请求自动发送。
示例 HTTP 响应(使用 Cookie 方法):
HTTP/1.1200OKSet-Cookie: jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...; HttpOnly; Secure; SameSite=Strict
4. 特工如何处理 JWT 令牌
浏览器 自动存储 Cookie,并在随后的请求中自动附带。
不需要客户端手动存储令牌。
令牌对 JavaScript 不可访问,防止 XSS 攻击。
客户端示例(无需手动存储 JWT):
fetch("https://hq-secure.com/api/auth/login", {method:"POST",credentials:"include",// 确保发送 Cookieheaders: {"Content-Type":"application/json"},body:JSON.stringify({username:"AgentX",password:"TopSecret123"}),}) .then(response=>{if(response.ok)console.log("登录成功,JWT 存储在 HttpOnly Cookie 中!"); }) .catch(error=>console.error("认证失败", error));
缺点: WebSockets 不会自动附带 Cookie,因此客户端需要 手动获取 JWT,并在连接 WebSocket 时附上。
步骤 2:建立安全的 WebSocket 连接
一旦认证通过,特工必须在建立 WebSocket 连接时提供 JWT 令牌。
1. 特工在连接请求时提供 JWT
WebSocket 客户端将 JWT 放入请求头 或作为 查询参数。
示例 WebSocket 连接请求:
constsocket =newWebSocket("wss://hq-secure.com/missions?token=eyJhbGciOiJIUzI1...");
2. WebSocket 服务器在建立连接前验证 JWT
服务器 提取并验证 JWT,检查:
签名完整性(确保未被篡改)
过期时间(拒绝过期令牌)
特工的授权级别(仅允许授权访问)
如果 JWT 无效或过期,连接会被拒绝。
3. 访问控制:授权或拒绝
✅ 如果有效,WebSocket 连接建立,特工可以接收任务更新。
❌ 如果无效或过期,服务器 立即关闭连接。
示例服务器端验证:
if(!isValidJWT(token)) { socket.close(4001,"未经授权:无效令牌");}
通过强制 基于 JWT 的认证,我们确保只有 授权特工 可以访问任务数据,同时维持 安全的实时通信。
3️⃣ 在 Node.js 中实现 JWT + WebSockets
步骤 1:安装所需工具
npm install express socket.io jsonwebtoken cors
步骤 2:生成和验证 JWT 凭证
constjwt =require("jsonwebtoken");constSECRET_KEY="top_secret_mission_code";// 🔥 保持机密!// 生成安全的授权令牌functiongenerateToken(agent) {returnjwt.sign({id: agent.id,codename: agent.codename},SECRET_KEY, {expiresIn:"1h"});}// 验证特工授权functionverifyToken(token) {try{returnjwt.verify(token,SECRET_KEY); }catch(err) {returnnull; }}
步骤 3:WebSocket 总部 - 仅接受授权特工
constexpress =require("express");consthttp =require("http");const{Server} =require("socket.io");constapp =express();constserver = http.createServer(app);constio =newServer(server, {cors: {origin:"*"} });// 安全的 WebSocket 通信io.use((socket, next) =>{consttoken = socket.handshake.auth.token;constagent =verifyToken(token);if(!agent)returnnext(newError("未经授权的访问 - 授权失败!")); socket.agent= agent;// 将特工信息附加到会话next();});io.on("connection",(socket) =>{console.log(`特工已连接:${socket.agent.codename}`); socket.on("message",(msg) =>{console.log(`来自${socket.agent.codename}的传输:${msg}`); }); socket.on("disconnect",() =>{console.log(`特工断开连接:${socket.agent.codename}`); });});server.listen(3000,() =>console.log("安全 WebSocket 总部在端口 3000 上运行"));
✅ 现在,只有经过验证的特工才能建立安全的通信通道!
4️⃣ 现场特工设置:连接到安全的 WebSocket
步骤 1:安装 WebSocket 客户端模块
npm install socket.io-client
步骤 2:现场特工连接总部
import{ io }from"socket.io-client";constclearanceToken =localStorage.getItem("jwt");// 获取安全令牌constsocket =io("http://localhost:3000", {auth: {token: clearanceToken },});socket.on("connect",() =>{console.log("✅ 与总部建立了安全通道!");});socket.on("message",(msg) =>{console.log("收到的传输:", msg);});socket.on("disconnect",() =>{console.log("安全通道丢失!正在重试...");});
✅ 现在,只有拥有有效清除令牌的特工才能访问任务更新!
5️⃣ 特工安全协议:最佳实践
✅ 使用 HTTP-only Cookies 存储 JWT(防止敌人 XSS 攻击)。
✅ 设置短生命周期令牌(例如 1 小时有效期),以减少安全风险。
✅ 实施刷新令牌,以便令牌过期后,特工能够重新认证。
✅ 加密 WebSocket 通道(WSS) 使用 SSL/TLS 保障通信安全。
✅ 监控并记录所有 WebSocket 连接,以检测可疑活动。
6️⃣Apipost 如何提供帮助
Apipost 是一款强大的工具,可帮助你实时测试、调试和监控 WebSocket 通信。
Apipost 的好处:
一体化 API 解决方案 → 设计、测试、调试、CI/CD 集成、模拟服务、无缝文档化 —— 一应俱全。
无需登录 → 直接开始使用,无需账号注册。
智能认证 → 内置支持 OAuth 2.0、JWT Bearer、AWS 签名、基本认证等。
支持多种通信协议 → 支持 HTTP、GraphQL、WebSocket、TCP、SSE 等。
任务完成:为什么选择 JWT + WebSockets?
安全特性任务收益
JWT 认证确保只有授权特工可以连接
无 API 轮询需求减少总部服务器负担
安全的实时更新保护机密情报
持久身份保持断开重连后的会话
总部指令: 你现在具备了利用 JWT 和 WebSockets 构建 安全实时网络 的能力。将这一策略部署到实战中,确保没有未经授权的访问!
