WebSocket 即时通讯前后端设计和基于token的鉴权

我的项目中使用的websocket 即时通讯一直没有加权限验证功能,就是简单的连接后发消息,但是最近面试的时候有人问我websocket如何鉴权,现在把这个漏洞补上

这是后端代码 go语言

路由代码

go 复制代码
defaultRoutes.GET("/ws", func(ctx *gin.Context) {
        t := ctx.Query("token")
        token, _, err := middlewares.ParseToken(t)
        if err != nil || !token.Valid {
                ctx.JSON(400, gin.H{
                        "message": "token无效",
                })
        } else {
                controllers.UserController{}.WS(ctx.Writer, ctx.Request)
        }

})

websocket连接

go 复制代码
var upgrader = websocket.Upgrader{
    CheckOrigin: func(r *http.Request) bool {
            return true
    },
}
var conns []*websocket.Conn
go 复制代码
func (this UserController) WS(w http.ResponseWriter, r *http.Request) {
    c, err := upgrader.Upgrade(w, r, nil)
    if err != nil {
            println("upgrade错误:", err)
            return
    }
    defer c.Close()
    conns = append(conns, c)
    for {
            _, _, err := c.ReadMessage()
            if err != nil {
                    println("read:", err)
                    break
            }
    }
}
下面是前端代码
ini 复制代码
let token=sessionStorage.getItem("token")
const env = process.env.NODE_ENV
//token加载url里个人感觉最合适的方案
const url = env == 'development' ? "ws://localhost:8088/ws?token=" + token : "ws://114.116.249.103:8088/ws?token=" + token
const websocket = new WebSocket(url)
let socketState = ref(true)
websocket.onopen = (evt) => {
  console.log("链接成功")
  socketState.value = true
}
websocket.onmessage = (evt) => {
    //这里是判断消息类型,自定义功能
  if (evt.data == "xxx1") {
    refreshChartJL()
  } else if (evt.data == "xxx2") {
    refreshChartMusic()
  }
}
websocket.onclose = () => {
  console.log("链接关闭")
  socketState.value = false
}
相关推荐
Asthenia04121 分钟前
由浅入深解析Redis事务机制及其业务应用-电商场景解决超卖
后端
Asthenia04122 分钟前
Redis详解:从内存一致性到持久化策略的思维链条
后端
黄毛火烧雪下2 分钟前
React Context API 用于在组件树中共享全局状态
前端·javascript·react.js
Asthenia04122 分钟前
深入剖析 Redis 持久化:RDB 与 AOF 的全景解析
后端
Apifox13 分钟前
如何在 Apifox 中通过 CLI 运行包含云端数据库连接配置的测试场景
前端·后端·程序员
一张假钞16 分钟前
Firefox默认在新标签页打开收藏栏链接
前端·firefox
高达可以过山车不行16 分钟前
Firefox账号同步书签不一致(火狐浏览器书签同步不一致)
前端·firefox
m0_5937581017 分钟前
firefox 136.0.4版本离线安装MarkDown插件
前端·firefox
掘金一周20 分钟前
金石焕新程 >> 瓜分万元现金大奖征文活动即将回归 | 掘金一周 4.3
前端·人工智能·后端
三翼鸟数字化技术团队38 分钟前
Vue自定义指令最佳实践教程
前端·vue.js