http - 通过 HTTP 中间件验证 WebSocket 连接 - Golang
问题描述
问题陈述:
我正在尝试使用 Golang 中的基本中间件来保护 websocket 升级程序 http 端点,因为 WebSocket 协议不处理授权或身份验证。
社区建议
- 有些人建议,尽管含糊其辞“我建议使用应用程序的代码来验证升级握手,以验证 HTTP 请求。”
- 还有人建议“连接后,客户端需要发送用户名和密码,需要服务器检查。如果不匹配,关闭连接”,但这似乎不习惯。
战略:
到目前为止,我失败的策略是尝试上面的社区策略 1,以X-Api-Key
通过中间件使用自定义标头安全升级连接,并且只升级使用匹配密钥启动对话的客户端。
下面的代码在the client is not using the websocket protocol: 'upgrade' token not found in 'Connection' header
服务器端产生。
问:
我想寻求帮助以理解:
- 如果我对策略 1 的看法有缺陷,我该如何改进它?似乎
GET
通过 http 发送初始身份验证,随后通过方案的升级请求ws
被服务器拒绝。 - 如果策略 2 可行,如何实施?
想法和建议,示例,要点表示赞赏,如果我可以进一步澄清或重述,请提出建议。
服务器.go:
package main
import (
"flag"
"log"
"net/http"
"github.com/gorilla/websocket"
)
func main() {
var addr = flag.String("addr", "localhost:8080", "http service address")
flag.Parse()
http.Handle("/ws", Middleware(
http.HandlerFunc(wsHandler),
authMiddleware,
))
log.Printf("listening on %v", *addr)
log.Fatal(http.ListenAndServe(*addr, nil))
}
func Middleware(h http.Handler, middleware ...func(http.Handler) http.Handler) http.Handler {
for _, mw := range middleware {
h = mw(h)
}
return h
}
var upgrader = websocket.Upgrader{
ReadBufferSize: 1024,
WriteBufferSize: 1024,
}
func wsHandler(rw http.ResponseWriter, req *http.Request) {
wsConn, err := upgrader.Upgrade(rw, req, nil)
if err != nil {
log.Printf("upgrade err: %v", err)
return
}
defer wsConn.Close()
for {
_, message, err := wsConn.ReadMessage()
if err != nil {
log.Printf("read err: %v", err)
break
}
log.Printf("recv: %s", message)
}
}
func authMiddleware(next http.Handler) http.Handler {
TestApiKey := "test_api_key"
return http.HandlerFunc(func(rw http.ResponseWriter, req *http.Request) {
var apiKey string
if apiKey = req.Header.Get("X-Api-Key"); apiKey != TestApiKey {
log.Printf("bad auth api key: %s", apiKey)
rw.WriteHeader(http.StatusForbidden)
return
}
next.ServeHTTP(rw, req)
})
}
客户端.go:
package main
import (
"fmt"
"log"
"net/http"
"net/url"
"github.com/gorilla/websocket"
)
func main() {
// auth first
req, err := http.NewRequest("GET", "http://localhost:8080/ws", nil)
if err != nil {
log.Fatal(err)
}
req.Header.Set("X-Api-Key", "test_api_key")
resp, err := http.DefaultClient.Do(req)
if err != nil || resp.StatusCode != http.StatusOK {
log.Fatalf("auth err: %v", err)
}
defer resp.Body.Close()
// create ws conn
u := url.URL{Scheme: "ws", Host: "localhost:8080", Path: "/ws"}
u.RequestURI()
fmt.Printf("ws url: %s", u.String())
log.Printf("connecting to %s", u.String())
conn, _, err := websocket.DefaultDialer.Dial(u.String(), nil)
if err != nil {
log.Fatalf("dial err: %v", err)
}
err = conn.WriteMessage(websocket.TextMessage, []byte("hellow websockets"))
if err != nil {
log.Fatalf("msg err: %v", err)
}
}
解决方案
问题中的客户端应用程序向 websocket 端点发送两个请求。第一个是经过身份验证的 HTTP 请求。此请求升级失败,因为它不是 websocket 握手。第二个请求是未经身份验证的 websocket 握手。此请求失败,因为它无法进行身份验证。
解决方法是发送经过身份验证的 websocket 握手。将 auth 标头通过最后一个参数传递给 Dial。
func main() {
u := url.URL{Scheme: "ws", Host: "localhost:8080", Path: "/ws"}
conn, _, err := websocket.DefaultDialer.Dial(u.String(), http.Header{"X-Api-Key": []string{"test_api_key"}})
if err != nil {
log.Fatalf("dial err: %v", err)
}
err = conn.WriteMessage(websocket.TextMessage, []byte("hellow websockets"))
if err != nil {
log.Fatalf("msg err: %v", err)
}
}
在服务器上,使用用于验证 HTTP 请求的应用程序代码验证握手。
推荐阅读
- javascript - 如何使用 javascript 生成标签
- flutter - 如何在 macos 中为颤振和渡槽安装两个不同版本的飞镖
- reactjs - 将 React App 部署到 github 页面时,manifest.json 出现 404 错误和问题
- ruby-on-rails - MP4 文件未在 React / Rails 应用程序上加载
- laravel - 如何从数据库中删除记录?
- macos - Visual Studio for Mac,从内容资源文件夹拖放不起作用
- c++ - 为什么派生类成员函数对指针视图[c++]隐藏?
- java - 在未排序的数组中查找 4 个连续相同值的整数 - Java
- wpf - 在使用模板设置复选框样式时保留绑定的问题
- assembly - 炸弹实验室作业第 5 阶段 - 编写其 C 等效项