我正在运行一个websocket服务器,并问自己,如果计划好了,将来客户端身份验证将通过握手完成。。。草案xxxx可能:)
你有信息吗?我听说使用draft07可以将会话id发送到服务器,所以这可能有助于对客户端进行身份验证。。。
我在atm上做的是最多等待10秒,直到客户端向我发送一条包含登录头、用户名和密码的消息。但我认为这不是"解决方案"。你们是怎么做到的?
WebSockets协议允许在握手期间交换标准HTTP身份验证标头。如果您有一个WebSockets服务器,它作为模块插入到现有的web服务器中,那么web服务器中现有的身份验证应该已经可以工作了。否则,如果您有一个独立的WebSockets服务器,那么您可能需要添加身份验证支持。
更新
正如@Jon所指出的,与普通的HTTP/XHR请求不同,浏览器API不允许为WebSocket连接设置任意的"X-*"头。您可以设置的唯一标头值是协议。这很不幸。一种常见的解决方案是使用基于票证的系统,该系统依赖于现有的HTTP机制进行授权/身份验证,然后将此票证与websocket连接一起传递并以这种方式进行验证:https://devcenter.heroku.com/articles/websocket-security