WebSocket 即时通讯前后端设计和基于token的鉴权

我的项目中使用的websocket 即时通讯一直没有加权限验证功能,就是简单的连接后发消息,但是最近面试的时候有人问我websocket如何鉴权,现在把这个漏洞补上

这是后端代码 go语言

路由代码

go 复制代码
defaultRoutes.GET("/ws", func(ctx *gin.Context) {
        t := ctx.Query("token")
        token, _, err := middlewares.ParseToken(t)
        if err != nil || !token.Valid {
                ctx.JSON(400, gin.H{
                        "message": "token无效",
                })
        } else {
                controllers.UserController{}.WS(ctx.Writer, ctx.Request)
        }

})

websocket连接

go 复制代码
var upgrader = websocket.Upgrader{
    CheckOrigin: func(r *http.Request) bool {
            return true
    },
}
var conns []*websocket.Conn
go 复制代码
func (this UserController) WS(w http.ResponseWriter, r *http.Request) {
    c, err := upgrader.Upgrade(w, r, nil)
    if err != nil {
            println("upgrade错误:", err)
            return
    }
    defer c.Close()
    conns = append(conns, c)
    for {
            _, _, err := c.ReadMessage()
            if err != nil {
                    println("read:", err)
                    break
            }
    }
}
下面是前端代码
ini 复制代码
let token=sessionStorage.getItem("token")
const env = process.env.NODE_ENV
//token加载url里个人感觉最合适的方案
const url = env == 'development' ? "ws://localhost:8088/ws?token=" + token : "ws://114.116.249.103:8088/ws?token=" + token
const websocket = new WebSocket(url)
let socketState = ref(true)
websocket.onopen = (evt) => {
  console.log("链接成功")
  socketState.value = true
}
websocket.onmessage = (evt) => {
    //这里是判断消息类型,自定义功能
  if (evt.data == "xxx1") {
    refreshChartJL()
  } else if (evt.data == "xxx2") {
    refreshChartMusic()
  }
}
websocket.onclose = () => {
  console.log("链接关闭")
  socketState.value = false
}
相关推荐
excel30 分钟前
CSS 里的斜杠 /:你可能忽略的小细节
前端
齐 飞30 分钟前
SpringBoot实现国际化(多语言)配置
java·spring boot·后端
PBitW2 小时前
element plus 使用细节 (二)
前端·vue·element plus·element使用细节
zcz16071278212 小时前
Web详解
前端
良木林2 小时前
JS函数进阶
开发语言·前端·javascript
David爱编程2 小时前
锁升级机制全解析:偏向锁、轻量级锁、重量级锁的秘密
java·后端
技术小泽2 小时前
深度解析Netty架构工作原理
java·后端·性能优化·架构·系统架构
HelloRevit3 小时前
让B站视频4倍速度播放
前端·javascript·音视频
SEO_juper3 小时前
E-E-A-T与现代SEO:赢得搜索引擎信任的完整策略
前端·搜索引擎·seo·数字营销·seo优化·谷歌seo
一点一木3 小时前
2025 前端 3D 选型指南:Three.js、Babylon.js、WebGPU 深度对比
前端·javascript·3d