通过 HTTP 中间件验证 WebSocket 连接 - Golang
Posted
技术标签:
【中文标题】通过 HTTP 中间件验证 WebSocket 连接 - Golang【英文标题】:Authenticating WebSocket Connections via HTTP Middleware - Golang 【发布时间】:2018-10-14 22:47:41 【问题描述】:问题陈述:
我正在尝试使用 Golang 中的基本中间件来保护 websocket 升级程序 http 端点,例如 the WebSocket protocol doesn’t handle authorization or authentication。
社区建议
-
虽然含糊不清,但有些人建议“我建议使用应用程序的代码来验证升级握手以验证 HTTP 请求。”
还有人建议“连接后,客户端需要发送用户名和密码,需要服务器检查。如果不匹配,关闭连接”,但这似乎不习惯。
策略:
到目前为止,我失败的策略是尝试上面的社区策略 1,以通过中间件使用自定义标头 X-Api-Key 安全升级连接,并且只升级使用匹配密钥启动对话的客户端。
下面的代码在服务器端生成the client is not using the websocket protocol: 'upgrade' token not found in 'Connection' header。
问:
我想在理解方面寻求帮助:
如果我对策略 1 的理解存在缺陷,我该如何改进它?似乎通过http发送初始身份验证GET,随后通过方案ws的升级请求被服务器拒绝。
如果策略 2 可行,如何实施?
想法和建议、示例、要点表示赞赏,如果我可以进一步澄清或重申,请提供建议。
server.go:
package main
import (
"flag"
"log"
"net/http"
"github.com/gorilla/websocket"
)
func main()
var addr = flag.String("addr", "localhost:8080", "http service address")
flag.Parse()
http.Handle("/ws", Middleware(
http.HandlerFunc(wsHandler),
authMiddleware,
))
log.Printf("listening on %v", *addr)
log.Fatal(http.ListenAndServe(*addr, nil))
func Middleware(h http.Handler, middleware ...func(http.Handler) http.Handler) http.Handler
for _, mw := range middleware
h = mw(h)
return h
var upgrader = websocket.Upgrader
ReadBufferSize: 1024,
WriteBufferSize: 1024,
func wsHandler(rw http.ResponseWriter, req *http.Request)
wsConn, err := upgrader.Upgrade(rw, req, nil)
if err != nil
log.Printf("upgrade err: %v", err)
return
defer wsConn.Close()
for
_, message, err := wsConn.ReadMessage()
if err != nil
log.Printf("read err: %v", err)
break
log.Printf("recv: %s", message)
func authMiddleware(next http.Handler) http.Handler
TestApiKey := "test_api_key"
return http.HandlerFunc(func(rw http.ResponseWriter, req *http.Request)
var apiKey string
if apiKey = req.Header.Get("X-Api-Key"); apiKey != TestApiKey
log.Printf("bad auth api key: %s", apiKey)
rw.WriteHeader(http.StatusForbidden)
return
next.ServeHTTP(rw, req)
)
client.go:
package main
import (
"fmt"
"log"
"net/http"
"net/url"
"github.com/gorilla/websocket"
)
func main()
// auth first
req, err := http.NewRequest("GET", "http://localhost:8080/ws", nil)
if err != nil
log.Fatal(err)
req.Header.Set("X-Api-Key", "test_api_key")
resp, err := http.DefaultClient.Do(req)
if err != nil || resp.StatusCode != http.StatusOK
log.Fatalf("auth err: %v", err)
defer resp.Body.Close()
// create ws conn
u := url.URLScheme: "ws", Host: "localhost:8080", Path: "/ws"
u.RequestURI()
fmt.Printf("ws url: %s", u.String())
log.Printf("connecting to %s", u.String())
conn, _, err := websocket.DefaultDialer.Dial(u.String(), nil)
if err != nil
log.Fatalf("dial err: %v", err)
err = conn.WriteMessage(websocket.TextMessage, []byte("hellow websockets"))
if err != nil
log.Fatalf("msg err: %v", err)
【问题讨论】:
【参考方案1】:问题中的客户端应用程序向 websocket 端点发送两个请求。第一个是经过身份验证的 HTTP 请求。此请求升级失败,因为它不是 websocket 握手。第二个请求是未经身份验证的 websocket 握手。此请求失败,因为它无法进行身份验证。
解决方法是发送经过身份验证的 websocket 握手。将 auth 标头通过最后一个参数传递给 Dial。
func main()
u := url.URLScheme: "ws", Host: "localhost:8080", Path: "/ws"
conn, _, err := websocket.DefaultDialer.Dial(u.String(), http.Header"X-Api-Key": []string"test_api_key")
if err != nil
log.Fatalf("dial err: %v", err)
err = conn.WriteMessage(websocket.TextMessage, []byte("hellow websockets"))
if err != nil
log.Fatalf("msg err: %v", err)
在服务器上,使用用于验证 HTTP 请求的应用程序代码验证握手。
【讨论】:
优秀的@ThunderCat,我怀疑将两个请求发送到同一个端点,但你对这个问题的阐述清楚地说明了为什么这不会像我一样工作。我将尝试您的解决方案并在验证后标记为接受。谢谢! 这个解决方案对我有用,接受答案。对于任何偶然发现这一点的人,都有一个小错字。 http 标头声明应为:http.Header"X-Api-Key": []string"test_api_key"以上是关于通过 HTTP 中间件验证 WebSocket 连接 - Golang的主要内容,如果未能解决你的问题,请参考以下文章
支持简单 HTTP 和 Websocket 的服务器上的用户身份验证
通过 Websocket 或 HTTP 连接到在 VPS 上运行的 BSC 节点
如何在NodeJS中代理websocket连接到其他websockets