在文档Specifying WebSocket authentication details上,它没有提到密码是如何从客户端的authenticate() JS函数发送到服务器的onWSAuthenticate的。它们是通过安全通道发送的吗?还是用纯文本写的?
附带问题:什么工具/浏览器/浏览器的插件可以用来嗅探websocket的流量?
谢谢。
答案 0 :(得分:1)
通过authenticate()函数发送的用户名/密码为明文。你实际上可以在cfwebsocket.js中看到它(它缩小了以便搜索authenticate)。在服务器上,如果调用是用于身份验证,它将在application.cfc中调用onWSAuthenticate(),传递给函数的任何用户名或密码。因此加密/解密/验证的逻辑在于开发人员。
任何TCP监视器都可用于嗅探websocket的流量,如wireshark,TCPMon等
答案 1 :(得分:0)
主要是回答我对自己如何运作的理解。来自websocket.org网站:
通过向代理服务器发出HTTP CONNECT语句来建立隧道,代理服务器请求代理服务器打开与特定主机和端口的TCP / IP连接。一旦建立了隧道,通信就可以畅通无阻地通过代理。由于HTTP / S以类似的方式工作,因此SSL上的安全WebSocket可以利用相同的HTTP CONNECT技术。
所以,如果这就是你所要求的,那么就像http / https一样,开发人员需要实施SSL加密,这是有道理的。
Sagar Ganatra在使用CF进行Websocket身份验证的基础知识方面也有blog entry。