我正在尋找一些基於websocket的應用程序,它只能通過https頁面訪問。因此,服務器使用一個隨機密鑰生成https頁面。我想使用這個密鑰來防止外部的人間接訪問websockets。Websockets和安全
我可以讓每個Web套接字客戶端將密鑰發送到WebSocket服務器,並在密鑰不匹配時關閉連接。然而,我希望更新websockets本身來傳遞密鑰,並且如果密鑰不匹配,會自動拒絕連接。 (這樣,如果引入了新應用程序,則不會忘記執行檢查)。
我環顧四周,沒有找到有關websockets如何工作的深入文檔。
初始握手的wss連接以明文方式發送(如果我將密鑰附加到這些數據包,中間人是否可以攔截它們?)。如果沒有,有沒有一種標準的方式來發送這種連接的元數據,或者我應該只是黑客的websocket源文件?
我在服務器端使用libwebsockets,爲客戶端使用jquery.websockets。
謝謝,我會添加一個要求,即我們的所有應用程序都需要密鑰纔會在交換任何其他消息之前進行檢查。 – John 2014-09-19 19:33:07