websocket 安全通信

WebSocket 协议

WebSocket:在 2008 年诞生,2011 年成为国际标准。它允许服务器主动向客户端推送信息,客户端也可以主动向服务器发送信息,实现了真正的双向平等对话。它是一种在单个 TCP 连接上进行全双工通讯的协议,能够更高效地进行实时通信。

传统的轮询:浏览器需要不断地向服务器发出 HTTP 请求,浪费带宽和服务器资源。

WebSocket 的优点:

  • 建立在 TCP 协议之上,服务器端实现相对容易。
  • 与 HTTP 协议兼容性好,默认端口也是 80 和 443,握手阶段采用 HTTP 协议。
  • 数据格式轻量,通信高效。
  • 支持文本和二进制数据传输。
  • 无同源限制,客户端可以与任意服务器通信。
  • 协议标识符是 ws(不加密)和 wss(加密)

WS 和 WSS

  • WS(WebSocket):是一种在单个 TCP 连接上进行全双工通讯的协议。它允许服务器和客户端之间进行实时双向通信。
  • WSS:是加密的 WebSocket 协议,相当于 WebSocket 加上 SSL/TLS 加密层。
    WS + SSL/TLS = WSS。

python sample

  1. 生成无密码保护的自签名证书

    openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

common name 也就是你的domain的name, 正式的项目中需要使用第三方认证机构提供的证书

  1. server端代码
python 复制代码
import asyncio
import ssl
import websockets

async def echo(websocket, path):
    async for message in websocket:
        await websocket.send(message)

ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLS_SERVER)
ssl_context.load_cert_chain(certfile="cert.pem", keyfile="key.pem")

start_server = websockets.serve(echo, "localhost", 8765, ssl=ssl_context)

asyncio.get_event_loop().run_until_complete(start_server)
asyncio.get_event_loop().run_forever()
  1. client 端代码, python 端
python 复制代码
import asyncio
import ssl
import websockets

async def hello():
    ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
    ssl_context.load_verify_locations("cert.pem")

    uri = "wss://localhost:8765"
    async with websockets.connect(uri, ssl=ssl_context) as websocket:
        await websocket.send("Hello, world!")
        greeting = await websocket.recv()
        print(f"< {greeting}")

asyncio.get_event_loop().run_until_complete(hello())

其他

正式的wss 需要使用第三方进行认证,如let's encrypt 等服务, 而不是自己生成的证书。

相关推荐
花鱼白羊1 小时前
TCP Vegas拥塞控制算法——baseRtt 和 minRtt的区别
服务器·网络协议·tcp/ip
brrdg_sefg2 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
浏览器爱好者2 小时前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
独行soc4 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
安全方案7 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
H4_9Y7 小时前
顶顶通呼叫中心中间件mod_cti模块安全增强,预防盗打风险(mod_cti基于FreeSWITCH)
安全·中间件
总是学不会.8 小时前
第五篇:前后端如何“扯皮”——HTTP 在开发中的应用
java·网络·网络协议·http·开发
Hacker_Oldv8 小时前
网络安全中常用浏览器插件、拓展
安全·web安全
龙哥·三年风水8 小时前
workman服务端开发模式-应用开发-vue-element-admin封装websocket
分布式·websocket·vue