Websocket安全性

为了保护您的消息安全，使用SSL/TLS上的WebSockets（wss://而不是ws://）。不要自己编写加密解密算法。
关于身份验证。HTTP和WebSockets之间的一个重大区别是HTTP是无状态协议，而WebSockets不是。
使用HTTP时，您必须在每个请求中发送头文件（cookie、令牌等）。使用WebSockets，您建立一个连接。在最初的交互中，您可以对客户进行身份验证，并且在连接的其余部分中，您知道客户端已通过身份验证。
Heroku的人员描述了一种模式，其中客户端使用HTTP进行身份验证，获得一张票据，然后将该票据作为第一条消息发送到WebSocket连接上。请参见https://devcenter.heroku.com/articles/websocket-security。

我同意使用SSL/TLS的wss://连接。始终使用加密流量。有几种实现身份验证的方法。请参见此处：http://simplyautomationized.blogspot.com/2015/09/5-ways-to-secure-websocket-rpi.html。
大多数示例都使用Python或Node.js，并针对树莓派进行了指导，但是一般概念是值得考虑的好主意。在帖子中有链接到一个SocketRocket辅助库，它允许您将身份验证插入到auth标头中（SocketShuttle）。

与服务器进行安全通信包括相互认证双方。如果您需要通过一个通信渠道传输具有不同身份验证凭据的不同用户（这在现今是一种罕见的想法），则需要分别进行身份验证。否则，您只需要设计密钥分发方案（以便您的应用程序知道服务器和客户端的公钥，您的服务器具有熟悉客户端公钥的协议，有许多模式可供选择）。
为此，选择范围比SSL或自己的加密要宽得多（尽量避免自己编写加密算法）。
对于Web服务器到浏览器部分，SSL是您唯一的选择，但是它不应被视为良好的安全措施，每年都会出现更多漏洞、密码降级和信任问题。它承载着20年来糟糕的工程决策和紧急修复的负担，因此如果您能获得更好的东西-那就值得这样做。尽管如此，对于普通网站而言，它仍然比没有好得多。
在您的移动应用程序中，您可以轻松使用许多提供与服务器进行安全会话消息传递的加密库，具有显着更高的安全性保证，无需依赖。

• https://github.com/mochtu/libsodium-ios, libsodium-ios，一个iOS包装器，用于NaCl，它是现代密码库中最好的之一，具有许多新颖的ECC密码实现，在学术界受到高度赞扬，由一个狂热追求在所有情况下获得最佳性能的疯子编写（简而言之：我很喜欢它 :)）。

• Themis是我参与的一个项目，我们有非常ObjC友好的iOS版本库，并且提供了一个方便的教程，介绍如何在iOS上进行安全的WebSocket通信：https://www.cossacklabs.com/building-secure-chat

你应该使用SSL/TLS保护你的连接，并使用https代替http，wss代替ws。为了进行身份验证/授权，你可以向websocket连接添加查询参数，并添加类似用户名/密码的内容。 例如：

wss://example.com/path?username=password=anotherParam=99ace112-dd56-427e-ba3d-9dd23e9c7551

是的，在JS中，您无法添加任意标头，但是您可以在Websocket连接中添加协议和Sec-WebSocket-Protocol标头，并在服务器端根据Websocket协议对用户进行身份验证/授权。