Tiêu đề HTTP trong API máy khách Websockets

Có vẻ như thật dễ dàng để thêm các tiêu đề HTTP tùy chỉnh vào ứng dụng khách websocket của bạn với bất kỳ ứng dụng khách tiêu đề HTTP nào hỗ trợ điều này, nhưng tôi không thể tìm thấy cách thực hiện với API JSON.

Tuy nhiên, có vẻ như cần phải hỗ trợ các tiêu đề này trong thông số kỹ thuật .

Bất cứ ai cũng có một đầu mối về làm thế nào để đạt được nó?

var ws = new WebSocket("ws://example.com/service");

Cụ thể, tôi cần có thể gửi tiêu đề Ủy quyền HTTP.

Cập nhật 2 lần

Câu trả lời ngắn: Không, chỉ có thể chỉ định trường đường dẫn và giao thức.

Câu trả lời dài hơn:

Không có phương pháp nào trong API WebSockets của JavaScript để chỉ định các tiêu đề bổ sung cho ứng dụng khách / trình duyệt gửi. Đường dẫn HTTP ("GET / xyz") và tiêu đề giao thức ("Sec-WebSocket-Protocol") có thể được chỉ định trong hàm tạo WebSocket.

Tiêu đề Sec-WebSocket-Protocol (đôi khi được mở rộng để sử dụng trong xác thực cụ thể của websocket) được tạo từ đối số thứ hai tùy chọn cho trình tạo WebSocket:

var ws = new WebSocket("ws://example.com/path", "protocol");
var ws = new WebSocket("ws://example.com/path", ["protocol1", "protocol2"]);

Các kết quả trên trong các tiêu đề sau:

Sec-WebSocket-Protocol: protocol

và

Sec-WebSocket-Protocol: protocol1, protocol2

Một mô hình phổ biến để đạt được xác thực / ủy quyền của WebSocket là triển khai hệ thống bán vé trong đó trang lưu trữ ứng dụng khách WebSocket yêu cầu một vé từ máy chủ và sau đó chuyển vé này trong khi thiết lập kết nối WebSocket trong chuỗi URL / truy vấn, trong trường giao thức, hoặc được yêu cầu như là tin nhắn đầu tiên sau khi kết nối được thiết lập. Sau đó, máy chủ chỉ cho phép kết nối tiếp tục nếu vé hợp lệ (tồn tại, chưa được sử dụng, IP của khách hàng được mã hóa trong các trận đấu vé, dấu thời gian trong vé gần đây, v.v.). Dưới đây là bản tóm tắt thông tin bảo mật WebSocket: https://devcenter.heroku.com/articles/websocket-securance

Xác thực cơ bản trước đây là một tùy chọn nhưng điều này đã không được chấp nhận và các trình duyệt hiện đại không gửi tiêu đề ngay cả khi được chỉ định.

Thông tin xác thực cơ bản (không dùng nữa) :

Tiêu đề ủy quyền được tạo từ trường tên người dùng và mật khẩu (hoặc chỉ tên người dùng) của URI WebSocket:

var ws = new WebSocket("ws://username:password@example.com")

Các kết quả trên trong tiêu đề sau với chuỗi "username: password" base64 được mã hóa:

Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

Tôi đã thử nghiệm auth cơ bản trong Chrome 55 và Firefox 50 và xác minh rằng thông tin xác thực cơ bản thực sự được thương lượng với máy chủ (điều này có thể không hoạt động trong Safari).

Cảm ơn Dmitry Frank cho câu trả lời xác thực cơ bản

Thêm một giải pháp thay thế, nhưng tất cả các trình duyệt hiện đại đều gửi cookie miền cùng với kết nối, do đó, sử dụng:

var authToken = 'R3YKZFKBVi';

document.cookie = 'X-Authorization=' + authToken + '; path=/';

var ws = new WebSocket(
    'wss://localhost:9000/wss/'
);

Kết thúc với các tiêu đề kết nối yêu cầu:

Cookie: X-Authorization=R3YKZFKBVi

Vấn đề tiêu đề ủy quyền HTTP có thể được giải quyết bằng cách sau:

var ws = new WebSocket("ws://username:password@example.com/service");

Sau đó, tiêu đề HTTP ủy quyền cơ bản phù hợp sẽ được đặt cùng với usernamevà password. Nếu bạn cần Ủy quyền cơ bản, thì bạn đã sẵn sàng.

BearerTuy nhiên, tôi muốn sử dụng và tôi đã sử dụng một mẹo sau: Tôi kết nối với máy chủ như sau:

var ws = new WebSocket("ws://my_token@example.com/service");

Và khi mã của tôi ở phía máy chủ nhận được tiêu đề Ủy quyền cơ bản với tên người dùng không trống và mật khẩu trống, thì nó sẽ hiểu tên người dùng là mã thông báo.

Bạn không thể thêm các tiêu đề nhưng, nếu bạn chỉ cần truyền các giá trị cho máy chủ tại thời điểm kết nối, bạn có thể chỉ định một phần chuỗi truy vấn trên url:

var ws = new WebSocket("ws://example.com/service?key1=value1&key2=value2");

URL đó hợp lệ nhưng - tất nhiên - bạn sẽ cần sửa đổi mã máy chủ của mình để phân tích cú pháp.

Bạn không thể gửi tiêu đề tùy chỉnh khi bạn muốn thiết lập kết nối WebSockets bằng API WebSockets của JavaScript. Bạn có thể sử dụng Subprotocolscác tiêu đề bằng cách sử dụng hàm tạo lớp WebSocket thứ hai:

var ws = new WebSocket("ws://example.com/service", "soap");

và sau đó bạn có thể lấy các tiêu đề Subprot Protocol bằng Sec-WebSocket-Protocolkhóa trên máy chủ.

Ngoài ra còn có một hạn chế, các giá trị tiêu đề Subprot Protocol của bạn không thể chứa dấu phẩy ( ,)!

Gửi tiêu đề ủy quyền là không thể.

Đính kèm một tham số truy vấn mã thông báo là một tùy chọn. Tuy nhiên, trong một số trường hợp, có thể không mong muốn gửi mã thông báo đăng nhập chính của bạn dưới dạng văn bản đơn giản dưới dạng tham số truy vấn vì nó mờ hơn so với sử dụng tiêu đề và cuối cùng sẽ được ghi lại ở mọi nơi. Nếu điều này làm tăng mối lo ngại về bảo mật cho bạn, một giải pháp thay thế là sử dụng mã thông báo JWT thứ cấp chỉ cho công cụ ổ cắm web .

Tạo điểm cuối REST để tạo JWT này , tất nhiên chỉ có thể được truy cập bởi người dùng được xác thực bằng mã thông báo đăng nhập chính của bạn (được truyền qua tiêu đề). Ổ cắm web JWT có thể được định cấu hình khác với mã thông báo đăng nhập của bạn, ví dụ: thời gian chờ ngắn hơn, vì vậy việc gửi xung quanh dưới dạng tham số yêu cầu nâng cấp của bạn sẽ an toàn hơn.

Tạo một JwtAuthHandler riêng cho cùng một tuyến đường mà bạn đăng ký SockJS eventbusHandler trên . Đảm bảo trình xử lý xác thực của bạn được đăng ký trước, vì vậy bạn có thể kiểm tra mã thông báo ổ cắm web dựa trên cơ sở dữ liệu của mình (JWT phải được liên kết với người dùng của bạn trong phần phụ trợ).

Hoàn toàn hack nó như thế này, nhờ câu trả lời của kanaka.

Khách hàng:

var ws = new WebSocket(
    'ws://localhost:8080/connect/' + this.state.room.id, 
    store('token') || cookie('token') 
);

Máy chủ (sử dụng Koa2 trong ví dụ này, nhưng phải giống nhau ở mọi nơi):

var url = ctx.websocket.upgradeReq.url; // can use to get url/query params
var authToken = ctx.websocket.upgradeReq.headers['sec-websocket-protocol'];
// Can then decode the auth token and do any session/user stuff...

Trường hợp của tôi

• Tôi muốn kết nối với máy chủ WS sản xuất www.mycompany.com/api/ws...
• sử dụng thông tin xác thực (cookie phiên) ...
• từ một trang địa phương ( localhost:8000).

Cài đặt document.cookie = "sessionid=foobar;path=/"sẽ không giúp vì tên miền không khớp.

Giải pháp :

Thêm 127.0.0.1 wsdev.company.comvào /etc/hosts.

Bằng cách này, trình duyệt của bạn sẽ sử dụng cookie từ mycompany.comkhi kết nối với www.mycompany.com/api/wskhi bạn đang kết nối từ một tên miền phụ hợp lệ wsdev.company.com.

Trong tình huống của tôi (Thông tin chi tiết về chuỗi thời gian Azure wss: //)

Sử dụng trình bao bọc ReconnectingWebsocket và có thể đạt được việc thêm các tiêu đề bằng một giải pháp đơn giản:

socket.onopen = function(e) {
    socket.send(payload);
};

Trường hợp tải trọng trong trường hợp này là:

{
  "headers": {
    "Authorization": "Bearer TOKEN",
    "x-ms-client-request-id": "CLIENT_ID"
}, 
"content": {
  "searchSpan": {
    "from": "UTCDATETIME",
    "to": "UTCDATETIME"
  },
"top": {
  "sort": [
    {
      "input": {"builtInProperty": "$ts"},
      "order": "Asc"
    }], 
"count": 1000
}}}

Về mặt kỹ thuật, bạn sẽ gửi các tiêu đề này thông qua chức năng kết nối trước giai đoạn nâng cấp giao thức. Điều này làm việc cho tôi trong một nodejsdự án:

var WebSocketClient = require('websocket').client;
var ws = new WebSocketClient();
ws.connect(url, '', headers);

Bạn có thể chuyển các tiêu đề dưới dạng khóa-giá trị trong tham số thứ ba (tùy chọn) bên trong một đối tượng. Ví dụ với mã thông báo ủy quyền. Còn lại giao thức (tham số thứ hai) là null

ws = new WebSocket ('ws: // localhost', null, {headers: {Authorization: token}})

Chỉnh sửa: Có vẻ như cách tiếp cận này chỉ hoạt động với thư viện nodejs chứ không phải với triển khai trình duyệt tiêu chuẩn. Rời khỏi nó bởi vì nó có thể hữu ích cho một số người.