我正在使用一个使用JWT身份验证的简单Web应用程序。只有经过身份验证的用户才可以使用服务器打开Websocket,事实证明,这比设置身份验证标头(HTTP headers in Websockets client API)更复杂。
我跟着这篇文章https://devcenter.heroku.com/articles/websocket-security#authentication-authorization来解决这个问题。上面的文章描述了根据请求生成经过身份验证的客户端的故障单(故障单包含用户ID + IP地址),存储故障单(在X秒后过期),然后让客户端打开带有故障单的Websocket作为URL。 (例如&#34; ws:// localhost:3000 / conn / [myticket]&#34;或&#34; ws:// localhost:3000 / conn?ticket = [myticket]&#34;)。< / p>
这是我的问题:这张票应加密吗?如果机票没有加密,有人可以欺骗IP地址,然后从该地址伪造一张有效的机票,知道机票未过期且未使用吗?
后续问题:这张票怎么加密?它必须作为URL的一部分发送,二进制加密是可能的,还是必须是UTF-8?