我正在将Spring websockets与具有STOMP协议的SockJS一起使用,并且为了获得授权,我正在使用Json Web令牌(JWT)。在网络客户端中,我正在使用SockJS客户端库(https://github.com/sockjs/sockjs-client/blob/master/README.md)。
在握手期间,当Web应用程序连接到SockJS URL时,我正在验证JWT令牌;我将令牌作为查询参数发送。在服务器中,我为websocket请求(包括STOMP请求)禁用了CSFR。在SockJS握手之后是否需要验证JWT令牌,即针对STOMP请求?还是仅在握手期间验证令牌是安全的?