我正在开发一个使用 WebSocket 的客户端 - 服务器应用程序。我已经使用JWT实现了基于令牌的身份验证。一旦我的客户端拥有有效令牌,就会无限期地打开WebSocket 连接。
在每个请求中发送令牌是一个好主意吗?是否有人有机会劫持这种联系?
我的问题实际上适用于任何需要身份验证的基于TCP的连接。
答案 0 :(得分:1)
有没有人有机会劫持连接? ...我的问题实际上适用于任何需要身份验证的基于TCP的连接。
是的,可以劫持现有的TCP连接,或者只是在你开始一个新的时候成为中间人。对此的保护不是在每条消息中发送身份验证,因为攻击者可以简单地复制这些身份验证。而是使用加密,即在WebSockets或TLS的情况下为wss://,在其他情况下为IPSec或类似。这些可以防御中间攻击(劫持)和被动嗅探中的活跃人。