Как скрыть пароль для WebSocket авторизации на html странице?

Question

[Антон]

Есть сайт. Когда пользователь авторизуется, то попадает в личный кабинет. Там сразу же устанавливается WebSocket соединение с сервером для обмена определенными данными. При WebSocket соединении передаются логин/пароль пользователя. Хранить прямо в html страницы эти данные очень не безопасно, я считаю.
Сначала было так:

initSocketConnect(host, port, {
							username: 'user1', 
							password: '96219fb9d5167cae28a6823b08ef2fd6', 
							reconnectPeriod: 4 * 1000
						});

Где в качестве пароля передавался md5 пароля прям из БД, а сервер просто сравнивал строки.
Потом я сделал некоторый аналог Challenge-response:

initSocketConnect(host, port, {
							username: 'user1', 
							password: '96219fb9d5167cae28a6823b08ef2fd6/12365', 
							reconnectPeriod: 4 * 1000
						});

Там в поле пароля через разделитель передавалась некоторая соль. Но потом я задумался: не изобретаю ли велосипед?
Отсюда вопрос: как в серьезных проектах это решается? Приходит в голову - сделать аутентификацию по ключу, как в различных Rest API (OAuth, JWT). Но пока не соображу как. Скажите, в какую сторону копать?

Answer 1

[RidgeA]

Когда пользователь авторизуется, то попадает в личный кабинет.

Если пользователь авторизируется как-то, ему же выдается какой-то токен, который в куки, например, попадает.
Вот его и передавать в запросе на открытие ws соединения. При обработке открытия соединения и проверять в куках.

Answer 2

[Петр]

Логин и пароль должны вводить пользователи, тогда сразу отпадет необходимость их хранить.

Comments

[Exploding]

В данном случае имеется ввиду пароль от стороннего сервиса, требующего авторизации самого автора, а не посетителя сайта автора... Туповато объяснил, но надеюсь понятно)))))

[Антон]

Объясню конкретнее. Сайт на Symfony, а админка по веб-сокетам соединяется с сервисом на node.js. Поэтому необходима дополнительная авторизация

[Петр]

Антон Марченко: Браузеры намерено вводят ограничения ("Правило ограничения домена"), чтобы вы так не делали.
Проксируйте API запросы через ваш сервер, а на нем при запросе уже смело будете указывать логин и пароль.

Answer 3

[Exploding]

Перепишите авторизацию на php, и проблема пароля отпадет сама собой

Comments

[Антон]

Объясню конкретнее. Сайт на Symfony, а админка по веб-сокетам соединяется с сервисом на node.js. Поэтому необходима дополнительная авторизация

[Exploding]

Антон Марченко: хм, ну в таком случае возможно хватит еще раз взять хеш от текущего и этого будет достаточно? Кому в конце концов понадобится взлом md5 ради пароля от сервиса? Мне кажется что в данном случае цель не оправдывает средства...