WebSocket教程：JWT身份验证参数方式有哪些？

安全问题

WebSocket作为一种通信协议引入到Web应用中，并不会解决Web应用中存在的安全问题，因此WebSocket应用的安全实现是由开发者或服务端负责。这就要求开发者了解WebSocket应用潜在的安全风险，以及如何做到安全开发规避这些安全问题。

认证步骤

使用JWT进行身份认证是一种常见的做法，因为它可以方便地在客户端和服务器之间传递用户的身份信息。在WebSocket通信中，可以通过URL地址传递令牌参数来实现JWT身份认证。

以下是实现这一过程的一般步骤：

1. 用户登录：用户通过传统的HTTP请求登录系统，提供用户名和密码。
2. 生成JWT：服务器验证用户的凭据后，生成一个JWT。这个令牌包含了用户的身份信息和一些额外的声明（如角色、权限等），并且被服务器的密钥签名。
3. 发送JWT：服务器将JWT发送回客户端。
4. 客户端存储JWT：客户端（通常是浏览器）需要安全地存储这个JWT，比如使用LocalStorage、SessionStorage或者Cookies。
5. 建立WebSocket连接：客户端使用WebSocket协议发起连接请求。在连接URL中，通过查询参数的方式附加JWT令牌。例如：ws://wss.tinywan.com/socket?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
6. 服务器验证JWT：服务器接收到WebSocket连接请求后，解析URL中的令牌参数，并验证JWT的有效性。这包括检查签名、过期时间以及任何其他服务器关心的声明。
7. 建立连接：如果JWT验证成功，服务器接受WebSocket连接请求，建立WebSocket连接。否则，服务器可以拒绝连接。
8. 后续通信：一旦WebSocket连接建立，客户端和服务器就可以通过这个连接进行双向通信。在某些实现中，JWT可能在每次WebSocket消息发送时都包含在内，以便于持续验证用户身份。

请注意，JWT令牌应该始终通过安全的方式传递，比如使用 wss://（WebSocket Secure，即WebSocket协议的加密版本）来避免中间人攻击。此外，JWT不应该包含敏感信息，因为它们可以被解码（尽管不含密钥无法伪造）。

令牌认证

在WebSocket通信中加入Token主要是为了实现身份验证和授权，确保只有经过验证的用户可以建立WebSocket连接。由于WebSocket API本身不支持直接在连接时设置HTTP头部，因此需要采用一些变通的方法来传递Token。

1. 链接地址参数传递Token

这种方法简单直接，但安全性较低，因为Token会暴露在URL中，容易被截获。

var ws = new WebSocket("ws://wss.tinywan.com?authorization="+ACCESS_TOKEN);
ws.onopen = function(evt) {
    ws.send("认证授权和实现思路");
};

2. TCP建立连接后发送Token

var ws = new WebSocket("ws://wss.tinywan.com");
ws.addEventListener('open', (event) => {
  ws.send('Authorization: Bearer ' + ACCESS_TOKEN);
});

3. 使用WebSocket子协议（Sec-WebSocket-Protocol）

利用WebSocket的子协议特性传递Token。这种方法需要服务器端支持并正确处理子协议。

const access_token = localStorage.getItem('access_token');
var ws = new WebSocket("ws://wss.tinywan.com",[access_token]);