logo标签列表

通过HTTP中间件进行WebSocket连接认证

httpauthenticationgowebsocket
12

问题陈述:

我正在尝试使用Golang中的基本中间件保护websocket upgrader http端点,因为 WebSocket协议不处理授权或身份验证。

社区建议

  1. 一些人含糊地建议:“我建议使用应用程序的代码来对升级握手进行身份验证。”
  2. 还有人建议“连接后,客户端需要发送要由服务器检查的用户名和密码。如果不匹配,则关闭连接”,但这似乎不符合惯例。

策略:

到目前为止,我的失败策略是通过中间件使用自定义标头X-Api-Key来尝试上面的第1个社区策略,以确保安全升级连接,并仅升级启动具有匹配密钥的客户端。

下面的代码在服务器端会导致the client is not using the websocket protocol: 'upgrade' token not found in 'Connection' header

请求:

我想请教以下问题:

  • 如果我的第1个策略有缺陷,那么我该如何改进它?似乎通过使用初始的auth GET通过http发送,服务器会拒绝随后的升级请求通过方案ws
  • 如果第2个策略是可行的,那么该如何实施?

感谢您的想法、建议、示例和代码库,如果我需要进一步澄清或重新说明,请告诉我。

server.go:

package main

import (
    "flag"
    "log"
    "net/http"

    "github.com/gorilla/websocket"
)

func main() {
    var addr = flag.String("addr", "localhost:8080", "http service address")
    flag.Parse()

    http.Handle("/ws", Middleware(
        http.HandlerFunc(wsHandler),
        authMiddleware,
    ))
    log.Printf("listening on %v", *addr)
    log.Fatal(http.ListenAndServe(*addr, nil))
}

func Middleware(h http.Handler, middleware ...func(http.Handler) http.Handler) http.Handler {
    for _, mw := range middleware {
        h = mw(h)
    }
    return h
}

var upgrader = websocket.Upgrader{
    ReadBufferSize:  1024,
    WriteBufferSize: 1024,
}

func wsHandler(rw http.ResponseWriter, req *http.Request) {
    wsConn, err := upgrader.Upgrade(rw, req, nil)
    if err != nil {
        log.Printf("upgrade err: %v", err)
        return
    }
    defer wsConn.Close()

    for {
        _, message, err := wsConn.ReadMessage()
        if err != nil {
            log.Printf("read err: %v", err)
            break
        }
        log.Printf("recv: %s", message)
    }
}

func authMiddleware(next http.Handler) http.Handler {
    TestApiKey := "test_api_key"
    return http.HandlerFunc(func(rw http.ResponseWriter, req *http.Request) {
        var apiKey string
        if apiKey = req.Header.Get("X-Api-Key"); apiKey != TestApiKey {
            log.Printf("bad auth api key: %s", apiKey)
            rw.WriteHeader(http.StatusForbidden)
            return
        }
        next.ServeHTTP(rw, req)
    })
}

client.go:

package main

import (
    "fmt"
    "log"
    "net/http"
    "net/url"

    "github.com/gorilla/websocket"
)

func main() {
    // auth first
    req, err := http.NewRequest("GET", "http://localhost:8080/ws", nil)
    if err != nil {
        log.Fatal(err)
    }
    req.Header.Set("X-Api-Key", "test_api_key")

    resp, err := http.DefaultClient.Do(req)
    if err != nil || resp.StatusCode != http.StatusOK {
        log.Fatalf("auth err: %v", err)
    }
    defer resp.Body.Close()

    // create ws conn
    u := url.URL{Scheme: "ws", Host: "localhost:8080", Path: "/ws"}
    u.RequestURI()
    fmt.Printf("ws url: %s", u.String())
    log.Printf("connecting to %s", u.String())

    conn, _, err := websocket.DefaultDialer.Dial(u.String(), nil)
    if err != nil {
        log.Fatalf("dial err: %v", err)
    }

    err = conn.WriteMessage(websocket.TextMessage, []byte("hellow websockets"))
    if err != nil {
        log.Fatalf("msg err: %v", err)
    }
}
1个回答
15

所提到的客户端应用程序向WebSocket端点发送了两个请求。第一个是经过身份验证的HTTP请求。该请求无法升级,因为它不是WebSocket握手。第二个请求是未经身份验证的WebSocket握手。该请求失败是因为认证失败。

解决方法是发送经过身份验证的WebSocket握手。通过将身份验证标头传递给Dial的最后一个参数。

func main() {
    u := url.URL{Scheme: "ws", Host: "localhost:8080", Path: "/ws"}
    conn, _, err := websocket.DefaultDialer.Dial(u.String(), http.Header{"X-Api-Key": []string{"test_api_key"}})
    if err != nil {
        log.Fatalf("dial err: %v", err)
    }
    err = conn.WriteMessage(websocket.TextMessage, []byte("hellow websockets"))
    if err != nil {
        log.Fatalf("msg err: %v", err)
    }
}
在服务器上,使用应用程序用于验证HTTP请求的代码对握手进行身份验证。
太棒了@ThunderCat,将两个请求发送到同一端点是我怀疑的问题,但是您对该问题的表述使得我清楚为什么这样做不起作用。 我会尝试您的解决方案,并在验证后标记为已接受。谢谢! - gpanda
这个解决方案对我有效,接受答案。 对于任何偶然发现这个问题的人来说,有一个小错误。 HTTP头声明应该是: http.Header{"X-Api-Key": []string{"test_api_key"}} - gpanda
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接