通过 HTTP 中间件验证 WebSocket 连接

你在学习Golang相关的知识吗？本文《通过 HTTP 中间件验证 WebSocket 连接》，主要介绍的内容就涉及到，如果你想提升自己的开发能力，就不要错过这篇文章，大家要知道编程理论基础和实战操作都是不可或缺的哦！

问题陈述：

我正在尝试使用 golang 中的基本中间件来保护 websocket 升级程序 http 端点，因为 websocket 协议不处理授权或身份验证。

社区建议

1. 有些人建议（尽管很模糊）“我建议使用应用程序的代码来验证升级握手，以验证 http 请求。”
2. 还有人建议“连接后，客户端需要发送用户名和密码，服务器需要检查这些用户名和密码。如果不匹配，则关闭连接”，但这似乎不惯用。

策略：

到目前为止，我失败的策略是尝试上面的社区策略 1，通过中间件使用自定义标头 x-api-key 安全升级连接，并且仅升级使用匹配密钥发起对话的客户端。

以下代码导致 客户端未使用 websocket 协议：在服务器端的“连接”标头 中找不到“升级”令牌。

询问：

我想请求帮助理解：

• 如果我对策略 1 的看法有缺陷，我该如何改进？看起来，通过 http 发送初始身份验证 get，随后通过方案 ws 的升级请求会被服务器拒绝。
• 如果策略 2 可行，如何实施？

想法和建议、示例、要点表示赞赏，如果我可以进一步澄清或重述，请告知。

服务器.go：

package main

import (
    "flag"
    "log"
    "net/http"

    "github.com/gorilla/websocket"
)

func main() {
    var addr = flag.string("addr", "localhost:8080", "http service address")
    flag.parse()

    http.handle("/ws", middleware(
        http.handlerfunc(wshandler),
        authmiddleware,
    ))
    log.printf("listening on %v", *addr)
    log.fatal(http.listenandserve(*addr, nil))
}

func middleware(h http.handler, middleware ...func(http.handler) http.handler) http.handler {
    for _, mw := range middleware {
        h = mw(h)
    }
    return h
}

var upgrader = websocket.upgrader{
    readbuffersize:  1024,
    writebuffersize: 1024,
}

func wshandler(rw http.responsewriter, req *http.request) {
    wsconn, err := upgrader.upgrade(rw, req, nil)
    if err != nil {
        log.printf("upgrade err: %v", err)
        return
    }
    defer wsconn.close()

    for {
        _, message, err := wsconn.readmessage()
        if err != nil {
            log.printf("read err: %v", err)
            break
        }
        log.printf("recv: %s", message)
    }
}

func authmiddleware(next http.handler) http.handler {
    testapikey := "test_api_key"
    return http.handlerfunc(func(rw http.responsewriter, req *http.request) {
        var apikey string
        if apikey = req.header.get("x-api-key"); apikey != testapikey {
            log.printf("bad auth api key: %s", apikey)
            rw.writeheader(http.statusforbidden)
            return
        }
        next.servehttp(rw, req)
    })
}

client.go：

package main

import (
    "fmt"
    "log"
    "net/http"
    "net/url"

    "github.com/gorilla/websocket"
)

func main() {
    // auth first
    req, err := http.NewRequest("GET", "http://localhost:8080/ws", nil)
    if err != nil {
        log.Fatal(err)
    }
    req.Header.Set("X-Api-Key", "test_api_key")

    resp, err := http.DefaultClient.Do(req)
    if err != nil || resp.StatusCode != http.StatusOK {
        log.Fatalf("auth err: %v", err)
    }
    defer resp.Body.Close()

    // create ws conn
    u := url.URL{Scheme: "ws", Host: "localhost:8080", Path: "/ws"}
    u.RequestURI()
    fmt.Printf("ws url: %s", u.String())
    log.Printf("connecting to %s", u.String())

    conn, _, err := websocket.DefaultDialer.Dial(u.String(), nil)
    if err != nil {
        log.Fatalf("dial err: %v", err)
    }

    err = conn.WriteMessage(websocket.TextMessage, []byte("hellow websockets"))
    if err != nil {
        log.Fatalf("msg err: %v", err)
    }
}

解决方案

问题中的客户端应用程序向 websocket 端点发送两个请求。第一个是经过身份验证的 http 请求。此请求无法升级，因为它不是 websocket 握手。第二个请求是未经身份验证的 websocket 握手。此请求失败，因为无法进行身份验证。

修复方法是发送经过身份验证的 websocket 握手。通过最后一个参数将身份验证标头传递给 dial。

func main() {
    u := url.URL{Scheme: "ws", Host: "localhost:8080", Path: "/ws"}
    conn, _, err := websocket.DefaultDialer.Dial(u.String(), http.Header{"X-Api-Key": []string{"test_api_key"}})
    if err != nil {
        log.Fatalf("dial err: %v", err)
    }
    err = conn.WriteMessage(websocket.TextMessage, []byte("hellow websockets"))
    if err != nil {
        log.Fatalf("msg err: %v", err)
    }
}

在服务器上，使用应用程序的代码来验证握手，以验证 http 请求。

今天关于《通过 HTTP 中间件验证 WebSocket 连接》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！