我正在寻找一些基于websocket的应用程序,它只能通过https页面访问。因此,服务器使用一个随机密钥生成https页面。我想使用这个密钥来防止外部的人间接访问websockets。Websockets和安全
我可以让每个Web套接字客户端将密钥发送到WebSocket服务器,并在密钥不匹配时关闭连接。然而,我希望更新websockets本身来传递密钥,并且如果密钥不匹配,会自动拒绝连接。 (这样,如果引入了新应用程序,则不会忘记执行检查)。
我环顾四周,没有找到有关websockets如何工作的深入文档。
初始握手的wss连接以明文方式发送(如果我将密钥附加到这些数据包,中间人是否可以拦截它们?)。如果没有,有没有一种标准的方式来发送这种连接的元数据,或者我应该只是黑客的websocket源文件?
我在服务器端使用libwebsockets,为客户端使用jquery.websockets。
谢谢,我会添加一个要求,即我们的所有应用程序都需要密钥才会在交换任何其他消息之前进行检查。 – John 2014-09-19 19:33:07