我正在尝试为注册会员区域将客户端身份验证到我的安全WebSocket服务器(wss)。
一旦会员连接到Web服务器,我在数据库中记录一个唯一的令牌(与该会员相关联),并在发起与Web Socket服务器的连接的页面上显示它的隐藏字段。
然后,将令牌发送到WebSocket服务器,WebSocket服务器使用令牌进行身份验证。
我不是真正的安全专家,并希望听取您对我的身份验证安全性的意见。
除了cookie劫持之外,是否存在任何风险?是否有更好的方法来处理考虑到WebSocket在握手期间没有规定服务器可以验证客户端的特定方式。
我使用Ratchet WebSocket。
WebSocket
中的HTTP登录。 - jww