我正在开发一个使用WebSocket的客户端-服务器应用程序。我已经用JWT实现了基于令牌的身份验证。一旦我的客户端有了有效的令牌,WebSocket连接就会无限期地打开。
在每个请求中发送令牌是个好主意吗?有人劫持连接的机会吗?
我的问题实际上适用于任何需要身份验证的基于TCP的连接。
有人可能劫持连接吗。。。我的问题实际上适用于任何需要身份验证的基于TCP的连接。
是的,当你启动一个新的TCP连接时,可能会劫持现有的TCP连接,或者只是充当中间人。防止这种情况的方法不是在每条消息中发送身份验证,因为攻击者可以简单地复制这些消息。相反,在WebSockets或TLS的情况下使用加密,即wss://,在其他情况下使用IPSec或类似的加密。这既可以防止主动中间人攻击(劫持),也可以防止被动嗅探。