WebSocket 实现鉴权方案

在 WebSocket 的应用中，鉴权是一种重要的安全措施，用于验证客户端的合法性，防止未授权的访问和恶意攻击。鉴权方案主要包括用户名/密码鉴权、OAuth 鉴权等。下面将介绍如何使用 WebSocket 实现用户名/密码鉴权方案。
一、鉴权原理
用户名/密码鉴权是最简单的鉴权方式，用户在登录时输入用户名和密码，服务器验证通过后返回鉴权令牌（如 JWT），客户端携带该令牌进行后续通信。
二、鉴权流程

1. 客户端向服务器发起 WebSocket 连接请求，并在请求中携带用户名和密码。
2. 服务器验证用户名和密码，验证通过后生成一个鉴权令牌（如 JWT），并将该令牌返回给客户端。
3. 客户端接收到令牌后，将其存储在本地，并在后续的 WebSocket 通信中携带该令牌。
4. 服务器在接收到 WebSocket 请求时，验证请求中是否包含有效的鉴权令牌。如果包含有效的令牌，则继续处理请求；如果不包含有效的令牌或者令牌无效，则拒绝请求。
   三、代码实现
   以下是一个简单的 WebSocket 鉴权实现示例，使用 JavaScript 和 WebSocket API。
5. 客户端代码实现

   // 创建 WebSocket 连接
   const socket = new WebSocket('ws://example.com/websocket');
   // 登录函数
   function login(username, password) {
   // 将用户名和密码发送给服务器进行验证
   socket.send(JSON.stringify({ username, password }));
   }
   // 监听服务器返回的鉴权令牌
   socket.onmessage = function(event) {
   const token = JSON.parse(event.data);
   // 将鉴权令牌存储在本地（如 localStorage）
   localStorage.setItem('token', token);
   };

6. 服务器端代码实现（使用 Node.js 和 Express）

   const express = require('express');
   const jwt = require('jsonwebtoken');
   const http = require('http');
   const WebSocket = require('ws');
   const app = express();
   const server = http.createServer(app);
   const wss = new WebSocket.Server({ server });
   // 生成鉴权令牌的密钥和算法
   const secretKey = 'your-secret-key';
   const algorithm = 'HS256';
   // 处理登录请求并返回鉴权令牌
   app.post('/login', (req, res) => {
   const { username, password } = req.body;
   // 在这里进行用户名和密码的验证，验证通过后生成 JWT 并返回给客户端
   const token = jwt.sign({ username }, secretKey, { algorithm });
   res.send(token);
   });