Как защитить web socket?

Question

[Programep]

Подскажите, пожалуйста, как можно защитить web socket server?
Как я представляю.
1. Допустим есть форма авторизации. В коде страницы авторизации еще нет js-кода с подключение к ws.
2. После авторизации переходим, на страницу, где происходит подключение с ws.
Вот как это соединение отключать если это не авторизованный пользователь? Ведь подключиться может и не только браузер к данному сокету.

Answer 1

[Дмитрий Беляев]

браузерный клиент вебсокета отправляет куки (подходит если домен и порт сокета совпадают с http доменом и портом страниц)
так же можно передавать параметры в url сокета - универсальное решение

При авторизации генерируем пользователю токен сессии, я обычно в качестве такого токена использую uuid
При коннекте к серверу передаем этот токен в url, например так:

var protocol = window.location.protocol === 'https:' ? 'wss:' : 'ws:';
var ws = new WebSocket(protocol + '//' + window.location.host + '/' + token);

где в переменной token должна быть строка с токеном сессии

На сервере, при новом соеденении по вебсокету смотрим url и извлекаем из него токен и получаем по нему сессию, если такой сессии нет - обрываем соеденние

Comments

[Programep]

Не будет ли в данном случае повышаться нагрузка на сервер? Допустим в случае больших запросов с несуществующих сессий. Можно ли как-то пускать к самому сокету только после авторизации, чтобы сокет слушал только авторизованных?
И не подскажите еще node.js в сравнении с websocket на c++ лучше или хуже?

[Дмитрий Беляев]

Programep: Если Вас начнут DDoS'ить то вряд ли это будут делать по вебсокету. Да и нагрузку это не создаст ибо вы закрываете соеденение практически сразу.
Так же можно добавить таймаут кол-ва соеденений с 1 IP за промежуток времени (как правило это весьма эфективная программная защита от DDoS, так как вы не делаете accept соеденений IP которых очень часто к Вам долбятся, а следовательно даже не открываете их)

насчет node.js и c++ пишите на чем умеете и на чем построен остальной проект, c++ конечно можно заставить работать гораздо быстрее node.js только вот кода у Вас будет раз в 10 больше

[Programep]

Дмитрий Беляев: в основном знаю php, js и немного с++ и дальше стараюсь его изучать. Сам проект, на котором хочу применить сокеты(добавить приложению реалтайм), на js, php, apache на Windows. Я думаю сделать так. Apache сейчас основной сервер. Настроить на нем proxy порта на nodejs. И из под nodejs запускать php-скрипт, в котором будет обращение к бд, посредством командной строки: <функция вызова cmd в nodejs>('php.exe phpscript.php'). Правильно ли так делать в данном проекте?
Но для своего проекта(если соберусь) думаю делать так:
nginx - отдает статику, проксирует динамику apache(или другому), и проксирует web-сокеты node.js или c++ (в них уже либо командой вызывается скрипт обращения к базе) + ваше предложение по таймауту кол-ва соединений с 1 IP.
Хотя может быть вызов php-скрипта лишний. Обращаться сразу из nodejs или с++ можно же.

[Дмитрий Беляев]

Programep: лучше без вызова php-скрипта, это только нагрузит Ваш сервер и замедлит работу

Answer 2

[MaxEpt]

oauth и json web token, если серверная часть на node.js - то вот материал в помощь resources.infosecinstitute.com/securing-web-apis-p...

Answer 3

[Programep]

а если без oauth?
Подскажите еще, пожайлуста, node.js в сравнении с c++ сервером лучше или хуже?