如何让你的WebSocket连接既安全又高效?
扫描二维码关注或者微信搜一搜:编程智域 前端至全栈交流与成长
发现1000+提升效率与开发的AI工具和实用程序:https://tools.cmdragon.cn/
第五章:安全防护与性能优化
5.1 WebSocket安全认证(JWT集成)
实现原理:通过HTTP头携带JWT令牌完成握手阶段的认证,认证失败时返回403状态码中断连接。需使用websockets
库处理连接状态,结合jwt库进行令牌解码。
认证流程图解:
[客户端] --携带JWT--> [握手请求]
[服务端] --解码令牌--> [验证权限]
验证成功 --> 建立WebSocket连接
验证失败 --> 返回HTTP 403sequenceDiagram participant 客户端 participant 握手请求 participant 服务端 客户端 ->> 握手请求: 携带JWT 握手请求 ->> 服务端: 转发JWT 服务端 ->> 服务端: 解码令牌 服务端 ->> 服务端: 验证权限 alt 验证成功 服务端 ->> 客户端: 建立WebSocket连接 else 验证失败 服务端 ->> 客户端: 返回HTTP 403 end核心代码实现(需要安装依赖:python-jose==3.3.0):
from fastapi import WebSocket, HTTPException
from jose import JWTError, jwt
async def websocket_auth(websocket: WebSocket):
token = websocket.headers.get("Authorization")
if not token:
raise HTTPException(status_code=403, detail="未携带令牌")
try:
payload = jwt.decode(token, SECRET_KEY, algorithms=)
return payload["sub"]
except JWTError:
await websocket.close(code=4001)# 自定义关闭代码
@app.websocket("/ws")
async def websocket_endpoint(websocket: WebSocket):
await websocket.accept()
username = await websocket_auth(websocket)
# 后续业务逻辑5.2 跨域配置(CORS for WebSocket)
配置要点:需在中间件中显式声明websocket协议,并设置allow_origins白名单:
from fastapi.middleware.cors import CORSMiddleware
app.add_middleware(
CORSMiddleware,
allow_origins=["https://your-domain.com"],
allow_methods=["GET", "POST", "websocket"],
allow_headers=["Authorization"]
)5.3 消息频率限制与防DDOS攻击
三层防御策略:
[*]应用层限流:使用slowapi实现速率限制
from slowapi import Limiter
from slowapi.util import get_remote_address
limiter = Limiter(key_func=get_remote_address)
app.state.limiter = limiter
@app.websocket("/chat")
@limiter.limit("10/minute")# 每分钟10条消息
async def chat_handler(websocket: WebSocket):
...
[*]Nginx限流配置:
limit_req_zone $binary_remote_addr zone=wslimit:10m rate=20r/s;
location /ws {
limit_req zone=wslimit burst=30;
proxy_pass http://backend;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
[*]连接数熔断:监控活跃连接数
MAX_CONNECTIONS = 1000
active_connections = set()
@app.on_event("startup")
async def startup():
# 连接数监控任务
async def monitor():
while True:
if len(active_connections) > MAX_CONNECTIONS * 0.9:
logger.warning("连接数接近上限")
await asyncio.sleep(10)
asyncio.create_task(monitor())5.4 异步处理优化
连接池调优参数(uvicorn启动命令):
uvicorn main:app --workers 4 --ws websockets --limit-concurrency 2000异步任务分流示例:
import concurrent.filters
@app.websocket("/data-stream")
async def data_stream(websocket: WebSocket):
await websocket.accept()
# CPU密集型任务转线程池执行
loop = asyncio.get_event_loop()
result = await loop.run_in_executor(
None,# 使用默认线程池
cpu_intensive_task,
request_data
)
await websocket.send_json(result)课后 Quiz
问题1:当WebSocket连接因JWT过期被拒绝时,客户端应该如何处理?
解析:客户端需要捕获连接关闭事件(code 4001),触发令牌刷新流程,获取新令牌后重新建立连接。
问题2:如何验证CORS配置是否对WebSocket生效?
解析:可通过浏览器开发者工具的Network面板查看握手请求的Response Headers中是否包含Access-Control-Allow-Origin字段。
常见报错解决
报错1:403 Forbidden during WebSocket handshake
原因:未正确传递Authorization头或CORS配置未包含websocket协议
解决:
[*]检查前端连接代码是否设置headers
new WebSocket(`ws://api.com/ws`, {
headers: {Authorization: `Bearer ${token}`}
})
[*]确认服务端CORS中间件的allow_methods包含websocket
报错2:RuntimeError: Cannot call "receive" once a close message has been sent.
原因:在连接关闭后仍尝试操作WebSocket对象
解决:在所有的await websocket.receive()调用处添加try-except块:
try:
data = await websocket.receive_json()
except WebSocketDisconnect:
break# 退出消息循环余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长
,阅读完整的文章:如何让你的WebSocket连接既安全又高效?
往期文章归档:
[*]如何让多客户端会话管理不再成为你的技术噩梦? - cmdragon's Blog
[*]如何在FastAPI中玩转WebSocket消息处理?
[*]如何在FastAPI中玩转WebSocket,让实时通信不再烦恼? - cmdragon's Blog
[*]WebSocket与HTTP协议究竟有何不同?FastAPI如何让长连接变得如此简单? - cmdragon's Blog
[*]FastAPI如何玩转安全防护,让黑客望而却步?
[*]如何用三层防护体系打造坚不可摧的 API 安全堡垒? - cmdragon's Blog
[*]FastAPI安全加固:密钥轮换、限流策略与安全头部如何实现三重防护? - cmdragon's Blog
[*]如何在FastAPI中巧妙玩转数据脱敏,让敏感信息安全无忧? - cmdragon's Blog
[*]RBAC权限模型如何让API访问控制既安全又灵活? - cmdragon's Blog
[*]FastAPI中的敏感数据如何在不泄露的情况下翩翩起舞?
[*]FastAPI安全认证的终极秘籍:OAuth2与JWT如何完美融合? - cmdragon's Blog
[*]如何在FastAPI中打造坚不可摧的Web安全防线? - cmdragon's Blog
[*]如何用 FastAPI 和 RBAC 打造坚不可摧的安全堡垒? - cmdragon's Blog
[*]FastAPI权限配置:你的系统真的安全吗? - cmdragon's Blog
[*]FastAPI权限缓存:你的性能瓶颈是否藏在这只“看不见的手”里? | cmdragon's Blog
[*]FastAPI日志审计:你的权限系统是否真的安全无虞? | cmdragon's Blog
[*]如何在FastAPI中打造坚不可摧的安全防线? | cmdragon's Blog
[*]如何在FastAPI中实现权限隔离并让用户乖乖听话? | cmdragon's Blog
[*]如何在FastAPI中玩转权限控制与测试,让代码安全又优雅? | cmdragon's Blog
[*]如何在FastAPI中打造一个既安全又灵活的权限管理系统? | cmdragon's Blog
[*]FastAPI访问令牌的权限声明与作用域管理:你的API安全真的无懈可击吗? | cmdragon's Blog
[*]如何在FastAPI中构建一个既安全又灵活的多层级权限系统? | cmdragon's Blog
[*]FastAPI如何用角色权限让Web应用安全又灵活? | cmdragon's Blog
[*]FastAPI权限验证依赖项究竟藏着什么秘密? | cmdragon's Blog
[*]如何用FastAPI和Tortoise-ORM打造一个既高效又灵活的角色管理系统? | cmdragon's Blog
[*]JWT令牌如何在FastAPI中实现安全又高效的生成与验证? | cmdragon's Blog
[*]你的密码存储方式是否在向黑客招手? | cmdragon's Blog
[*]如何在FastAPI中轻松实现OAuth2认证并保护你的API? | cmdragon's Blog
[*]FastAPI安全机制:从OAuth2到JWT的魔法通关秘籍 | cmdragon's Blog
[*]FastAPI认证系统:从零到令牌大师的奇幻之旅 | cmdragon's Blog
[*]FastAPI安全异常处理:从401到422的奇妙冒险 | cmdragon's Blog
[*]FastAPI权限迷宫:RBAC与多层级依赖的魔法通关秘籍 | cmdragon's Blog
[*]JWT令牌:从身份证到代码防伪的奇妙之旅 | cmdragon's Blog
[*]FastAPI安全认证:从密码到令牌的魔法之旅 | cmdragon's Blog
[*]密码哈希:Bcrypt的魔法与盐值的秘密 | cmdragon's Blog
[*]用户认证的魔法配方:从模型设计到密码安全的奇幻之旅 | cmdragon's Blog
免费好用的热门在线工具
[*]CMDragon 在线工具 - 高级AI工具箱与开发者套件 | 免费好用的在线工具
[*]应用商店 - 发现1000+提升效率与开发的AI工具和实用程序 | 免费好用的在线工具
[*]CMDragon 更新日志 - 最新更新、功能与改进 | 免费好用的在线工具
[*]支持我们 - 成为赞助者 | 免费好用的在线工具
[*]AI文本生成图像 - 应用商店 | 免费好用的在线工具
[*]临时邮箱 - 应用商店 | 免费好用的在线工具
[*]二维码解析器 - 应用商店 | 免费好用的在线工具
[*]文本转思维导图 - 应用商店 | 免费好用的在线工具
[*]正则表达式可视化工具 - 应用商店 | 免费好用的在线工具
[*]文件隐写工具 - 应用商店 | 免费好用的在线工具
[*]IPTV 频道探索器 - 应用商店 | 免费好用的在线工具
[*]快传 - 应用商店 | 免费好用的在线工具
[*]随机抽奖工具 - 应用商店 | 免费好用的在线工具
[*]动漫场景查找器 - 应用商店 | 免费好用的在线工具
[*]时间工具箱 - 应用商店 | 免费好用的在线工具
[*]网速测试 - 应用商店 | 免费好用的在线工具
[*]AI 智能抠图工具 - 应用商店 | 免费好用的在线工具
[*]背景替换工具 - 应用商店 | 免费好用的在线工具
[*]艺术二维码生成器 - 应用商店 | 免费好用的在线工具
[*]Open Graph 元标签生成器 - 应用商店 | 免费好用的在线工具
[*]图像对比工具 - 应用商店 | 免费好用的在线工具
[*]图片压缩专业版 - 应用商店 | 免费好用的在线工具
[*]密码生成器 - 应用商店 | 免费好用的在线工具
[*]SVG优化器 - 应用商店 | 免费好用的在线工具
[*]调色板生成器 - 应用商店 | 免费好用的在线工具
[*]在线节拍器 - 应用商店 | 免费好用的在线工具
[*]IP归属地查询 - 应用商店 | 免费好用的在线工具
[*]CSS网格布局生成器 - 应用商店 | 免费好用的在线工具
[*]邮箱验证工具 - 应用商店 | 免费好用的在线工具
[*]书法练习字帖 - 应用商店 | 免费好用的在线工具
[*]金融计算器套件 - 应用商店 | 免费好用的在线工具
[*]中国亲戚关系计算器 - 应用商店 | 免费好用的在线工具
[*]Protocol Buffer 工具箱 - 应用商店 | 免费好用的在线工具
[*]IP归属地查询 - 应用商店 | 免费好用的在线工具
[*]图片无损放大 - 应用商店 | 免费好用的在线工具
[*]文本比较工具 - 应用商店 | 免费好用的在线工具
[*]IP批量查询工具 - 应用商店 | 免费好用的在线工具
[*]域名查询工具 - 应用商店 | 免费好用的在线工具
[*]DNS工具箱 - 应用商店 | 免费好用的在线工具
[*]网站图标生成器 - 应用商店 | 免费好用的在线工具
[*]XML Sitemap
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]