如何让你的WebSocket连接既安全又高效?
扫描二维码
关注或者微信搜一搜:编程智域 前端至全栈交流与成长
发现1000+提升效率与开发的AI工具和实用程序:https://tools.cmdragon.cn/
第五章:安全防护与性能优化
5.1 WebSocket安全认证(JWT集成)
实现原理:通过HTTP头携带JWT令牌完成握手阶段的认证,认证失败时返回403状态码中断连接。需使用websockets
库处理连接状态,结合jwt库进行令牌解码。
认证流程图解:
[客户端] --携带JWT--> [握手请求]
[服务端] --解码令牌--> [验证权限]
验证成功 --> 建立WebSocket连接
验证失败 --> 返回HTTP 403
sequenceDiagram
participant 客户端
participant 握手请求
participant 服务端
客户端 ->> 握手请求: 携带JWT
握手请求 ->> 服务端: 转发JWT
服务端 ->> 服务端: 解码令牌
服务端 ->> 服务端: 验证权限
alt 验证成功
服务端 ->> 客户端: 建立WebSocket连接
else 验证失败
服务端 ->> 客户端: 返回HTTP 403
end
核心代码实现(需要安装依赖:python-jose[cryptography]==3.3.0):
from fastapi import WebSocket, HTTPException
from jose import JWTError, jwt
async def websocket_auth(websocket: WebSocket):
token = websocket.headers.get("Authorization")
if not token:
raise HTTPException(status_code=403, detail="未携带令牌")
try:
payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
return payload["sub"]
except JWTError:
await websocket.close(code=4001) # 自定义关闭代码
@app.websocket("/ws")
async def websocket_endpoint(websocket: WebSocket):
await websocket.accept()
username = await websocket_auth(websocket)
# 后续业务逻辑
5.2 跨域配置(CORS for WebSocket)
配置要点:需在中间件中显式声明websocket协议,并设置allow_origins白名单:
from fastapi.middleware.cors import CORSMiddleware
app.add_middleware(
CORSMiddleware,
allow_origins=["https://your-domain.com"],
allow_methods=["GET", "POST", "websocket"],
allow_headers=["Authorization"]
)
5.3 消息频率限制与防DDOS攻击
三层防御策略:
- 应用层限流:使用
slowapi实现速率限制
from slowapi import Limiter
from slowapi.util import get_remote_address
limiter = Limiter(key_func=get_remote_address)
app.state.limiter = limiter
@app.websocket("/chat")
@limiter.limit("10/minute") # 每分钟10条消息
async def chat_handler(websocket: WebSocket):
...
- Nginx限流配置:
limit_req_zone $binary_remote_addr zone=wslimit:10m rate=20r/s;
location /ws {
limit_req zone=wslimit burst=30;
proxy_pass http://backend;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
- 连接数熔断:监控活跃连接数
MAX_CONNECTIONS = 1000
active_connections = set()
@app.on_event("startup")
async def startup():
# 连接数监控任务
async def monitor():
while True:
if len(active_connections) > MAX_CONNECTIONS * 0.9:
logger.warning("连接数接近上限")
await asyncio.sleep(10)
asyncio.create_task(monitor())
5.4 异步处理优化
连接池调优参数(uvicorn启动命令):
uvicorn main:app --workers 4 --ws websockets --limit-concurrency 2000
异步任务分流示例:
import concurrent.filters
@app.websocket("/data-stream")
async def data_stream(websocket: WebSocket):
await websocket.accept()
# CPU密集型任务转线程池执行
loop = asyncio.get_event_loop()
result = await loop.run_in_executor(
None, # 使用默认线程池
cpu_intensive_task,
request_data
)
await websocket.send_json(result)
课后 Quiz
问题1:当WebSocket连接因JWT过期被拒绝时,客户端应该如何处理?
解析:客户端需要捕获连接关闭事件(code 4001),触发令牌刷新流程,获取新令牌后重新建立连接。
问题2:如何验证CORS配置是否对WebSocket生效?
解析:可通过浏览器开发者工具的Network面板查看握手请求的Response Headers中是否包含Access-Control-Allow-Origin字段。
常见报错解决
报错1:403 Forbidden during WebSocket handshake
原因:未正确传递Authorization头或CORS配置未包含websocket协议
解决:
- 检查前端连接代码是否设置headers
new WebSocket(`ws://api.com/ws`, {
headers: {Authorization: `Bearer ${token}`}
})
- 确认服务端CORS中间件的allow_methods包含websocket
报错2:RuntimeError: Cannot call "receive" once a close message has been sent.
原因:在连接关闭后仍尝试操作WebSocket对象
解决:在所有的await websocket.receive()调用处添加try-except块:
try:
data = await websocket.receive_json()
except WebSocketDisconnect:
break # 退出消息循环
余下文章内容请点击跳转至 个人博客页面 或者 扫码关注或者微信搜一搜:编程智域 前端至全栈交流与成长
,阅读完整的文章:如何让你的WebSocket连接既安全又高效?
往期文章归档:
- 如何让多客户端会话管理不再成为你的技术噩梦? - cmdragon"s Blog
- 如何在FastAPI中玩转WebSocket消息处理?
- 如何在FastAPI中玩转WebSocket,让实时通信不再烦恼? - cmdragon"s Blog
- WebSocket与HTTP协议究竟有何不同?FastAPI如何让长连接变得如此简单? - cmdragon"s Blog
- FastAPI如何玩转安全防护,让黑客望而却步?
- 如何用三层防护体系打造坚不可摧的 API 安全堡垒? - cmdragon"s Blog
- FastAPI安全加固:密钥轮换、限流策略与安全头部如何实现三重防护? - cmdragon"s Blog
- 如何在FastAPI中巧妙玩转数据脱敏,让敏感信息安全无忧? - cmdragon"s Blog
- RBAC权限模型如何让API访问控制既安全又灵活? - cmdragon"s Blog
- FastAPI中的敏感数据如何在不泄露的情况下翩翩起舞?
- FastAPI安全认证的终极秘籍:OAuth2与JWT如何完美融合? - cmdragon"s Blog
- 如何在FastAPI中打造坚不可摧的Web安全防线? - cmdragon"s Blog
- 如何用 FastAPI 和 RBAC 打造坚不可摧的安全堡垒? - cmdragon"s Blog
- FastAPI权限配置:你的系统真的安全吗? - cmdragon"s Blog
- FastAPI权限缓存:你的性能瓶颈是否藏在这只“看不见的手”里? | cmdragon"s Blog
- FastAPI日志审计:你的权限系统是否真的安全无虞? | cmdragon"s Blog
- 如何在FastAPI中打造坚不可摧的安全防线? | cmdragon"s Blog
- 如何在FastAPI中实现权限隔离并让用户乖乖听话? | cmdragon"s Blog
- 如何在FastAPI中玩转权限控制与测试,让代码安全又优雅? | cmdragon"s Blog
- 如何在FastAPI中打造一个既安全又灵活的权限管理系统? | cmdragon"s Blog
- FastAPI访问令牌的权限声明与作用域管理:你的API安全真的无懈可击吗? | cmdragon"s Blog
- 如何在FastAPI中构建一个既安全又灵活的多层级权限系统? | cmdragon"s Blog
- FastAPI如何用角色权限让Web应用安全又灵活? | cmdragon"s Blog
- FastAPI权限验证依赖项究竟藏着什么秘密? | cmdragon"s Blog
- 如何用FastAPI和Tortoise-ORM打造一个既高效又灵活的角色管理系统? | cmdragon"s Blog
- JWT令牌如何在FastAPI中实现安全又高效的生成与验证? | cmdragon"s Blog
- 你的密码存储方式是否在向黑客招手? | cmdragon"s Blog
- 如何在FastAPI中轻松实现OAuth2认证并保护你的API? | cmdragon"s Blog
- FastAPI安全机制:从OAuth2到JWT的魔法通关秘籍 | cmdragon"s Blog
- FastAPI认证系统:从零到令牌大师的奇幻之旅 | cmdragon"s Blog
- FastAPI安全异常处理:从401到422的奇妙冒险 | cmdragon"s Blog
- FastAPI权限迷宫:RBAC与多层级依赖的魔法通关秘籍 | cmdragon"s Blog
- JWT令牌:从身份证到代码防伪的奇妙之旅 | cmdragon"s Blog
- FastAPI安全认证:从密码到令牌的魔法之旅 | cmdragon"s Blog
- 密码哈希:Bcrypt的魔法与盐值的秘密 | cmdragon"s Blog
- 用户认证的魔法配方:从模型设计到密码安全的奇幻之旅 | cmdragon"s Blog
免费好用的热门在线工具
- CMDragon 在线工具 - 高级AI工具箱与开发者套件 | 免费好用的在线工具
- 应用商店 - 发现1000+提升效率与开发的AI工具和实用程序 | 免费好用的在线工具
- CMDragon 更新日志 - 最新更新、功能与改进 | 免费好用的在线工具
- 支持我们 - 成为赞助者 | 免费好用的在线工具
- AI文本生成图像 - 应用商店 | 免费好用的在线工具
- 临时邮箱 - 应用商店 | 免费好用的在线工具
- 二维码解析器 - 应用商店 | 免费好用的在线工具
- 文本转思维导图 - 应用商店 | 免费好用的在线工具
- 正则表达式可视化工具 - 应用商店 | 免费好用的在线工具
- 文件隐写工具 - 应用商店 | 免费好用的在线工具
- IPTV 频道探索器 - 应用商店 | 免费好用的在线工具
- 快传 - 应用商店 | 免费好用的在线工具
- 随机抽奖工具 - 应用商店 | 免费好用的在线工具
- 动漫场景查找器 - 应用商店 | 免费好用的在线工具
- 时间工具箱 - 应用商店 | 免费好用的在线工具
- 网速测试 - 应用商店 | 免费好用的在线工具
- AI 智能抠图工具 - 应用商店 | 免费好用的在线工具
- 背景替换工具 - 应用商店 | 免费好用的在线工具
- 艺术二维码生成器 - 应用商店 | 免费好用的在线工具
- Open Graph 元标签生成器 - 应用商店 | 免费好用的在线工具
- 图像对比工具 - 应用商店 | 免费好用的在线工具
- 图片压缩专业版 - 应用商店 | 免费好用的在线工具
- 密码生成器 - 应用商店 | 免费好用的在线工具
- SVG优化器 - 应用商店 | 免费好用的在线工具
- 调色板生成器 - 应用商店 | 免费好用的在线工具
- 在线节拍器 - 应用商店 | 免费好用的在线工具
- IP归属地查询 - 应用商店 | 免费好用的在线工具
- CSS网格布局生成器 - 应用商店 | 免费好用的在线工具
- 邮箱验证工具 - 应用商店 | 免费好用的在线工具
- 书法练习字帖 - 应用商店 | 免费好用的在线工具
- 金融计算器套件 - 应用商店 | 免费好用的在线工具
- 中国亲戚关系计算器 - 应用商店 | 免费好用的在线工具
- Protocol Buffer 工具箱 - 应用商店 | 免费好用的在线工具
- IP归属地查询 - 应用商店 | 免费好用的在线工具
- 图片无损放大 - 应用商店 | 免费好用的在线工具
- 文本比较工具 - 应用商店 | 免费好用的在线工具
- IP批量查询工具 - 应用商店 | 免费好用的在线工具
- 域名查询工具 - 应用商店 | 免费好用的在线工具
- DNS工具箱 - 应用商店 | 免费好用的在线工具
- 网站图标生成器 - 应用商店 | 免费好用的在线工具
- XML Sitemap
原文地址:https://www.cnblogs.com/Amd794/p/18976983