برنامه نویسی

چگونه می توان هدرهای HTTP سفارشی را به اتصالات WebSocket اضافه کرد؟ – جامعه dev

ek3nk4r 2025-05-09

0 0 خواندن این مطلب 3 دقیقه زمان میبرد

چگونه می توان هدرهای HTTP سفارشی را به اتصالات WebSocket اضافه کرد؟ – جامعه dev

پیشنهاد ویژه

خرید فالوور واقعی خرید لایک اینستاگرام خرید ویو اینستاگرام خرید فالوور اینستاگرام

فهرست مطالب

مقدمه

اتصال به یک سرور WebSocket معمولاً نیاز به ایجاد دستی در HTTP دارد. در حالی که بسیاری از کتابخانه های مشتری HTTP به شما امکان می دهند هدرهای سفارشی مانند تنظیم کنید Authorization، API WebSocket بومی چنین عملکردی را مستقیماً ارائه نمی دهد. بنابراین ، چگونه می توانید این کار را هنگام کار با API WebSocket در بستر وب انجام دهید؟

چالش با API WebSocket

API WebSocket ، که در مرورگرها اجرا شده است ، برای ساده کردن فرآیند اتصال طراحی شده است اما فاقد توانایی اضافه کردن عنوان های سفارشی از جمله موارد مهم مانند Authorizationبشر این محدودیت می تواند در صورت نیاز به ایمن سازی اتصالات WebSocket خود یا اضافه کردن زمینه اضافی به درخواست خود ، یک مانع باشد.

راه حل برای افزودن عنوان های HTTP در WebSockets

در حالی که شما نمی توانید هدرها را با استفاده از API بومی WebSocket تنظیم کنید ، می توانید با استفاده از روشهای زیر یک راه حل را پیاده سازی کنید:

با استفاده از پارامترهای URL: می توانید اطلاعات تأیید اعتبار یا نشانه های خود را به عنوان پارامترهای پرس و جو در URL WebSocket ارسال کنید.
از طریق درخواست HTTP مجاز باشید: می توانید قبل از ایجاد اتصال WebSocket ، درخواست HTTP را برای تأیید اعتبار کاربر آغاز کنید.
استفاده از یک لایه میانی: یک مؤلفه سمت سرور بسازید که بتواند هدرها را بپذیرد و به نمایندگی از مشتری یک اتصال WebSocket ایجاد کند.

بیایید هر روش را با جزئیات بررسی کنیم:

1. با استفاده از پارامترهای URL

اگرچه برای اطلاعات حساس ایده آل نیست ، اضافه کردن یک نشانه به عنوان یک پارامتر پرس و جو ممکن است در کاربردهای غیر بحرانی کافی باشد.

var ws = new WebSocket("ws://example.com/service?token=YOUR_TOKEN");

این روش ساده است اما به خاطر داشته باشید که URL ها اغلب توسط سیستم های مختلف وارد می شوند ، و به طور بالقوه داده های حساس را در معرض نمایش قرار می دهند.

2. از طریق درخواست HTTP مجوز بگیرید

یک روش امن تر می تواند تأیید اعتبار کاربر با درخواست اولیه HTTP قبل از اتصال WebSocket باشد. در اینجا نحوه عملکرد آن در JavaScript آورده شده است:

function authenticate() {
    return new Promise((resolve, reject) => {
        fetch('https://example.com/api/auth', {
            method: 'POST',
            headers: {
                'Content-Type': 'application/json',
                'Authorization': 'Bearer YOUR_ACCESS_TOKEN'
            },
            body: JSON.stringify({ username: 'user', password: 'pass' })
        })
        .then(response => {
            if (!response.ok) {
                throw new Error('Authentication failed');
            }
            return response.json();
        })
        .then(data => {
            resolve(data);
        })
        .catch(error => {
            reject(error);
        });
    });
}

authenticate().then(data => {
    var ws = new WebSocket("ws://example.com/service");
    // Use ws here, knowing that you are authenticated.
}).catch(error => {
    console.error('Error:', error);
});

در این مثال ، یک درخواست احراز هویت قبل از ایجاد اتصال WebSocket ارسال می شود. این تضمین می کند که کاربر قبل از هرگونه تعامل بیشتر با سرور WebSocket تأیید شود.

3. با استفاده از یک لایه میانی

رویکرد دیگر ایجاد سرور واسطه ای است که به عنوان یک پروکسی عمل می کند. پروکسی می تواند درخواست اتصال WebSocket ، از جمله هدرها را دریافت کند و سپس اتصال به سرور واقعی WebSocket را برقرار کند. این روش به برنامه نویسی سمت سرور نیاز دارد اما لایه ای از انتزاع را اضافه می کند که ممکن است متناسب با برنامه های پیچیده باشد. برای تنظیم این کار می توانید از چارچوب هایی مانند Express.js برای node.js استفاده کنید.

const express = require('express');
const WebSocket = require('ws');

const app = express();
const server = app.listen(3000);
const wss = new WebSocket.Server({ server });

wss.on('connection', function connection(ws, req) {
    const authHeader = req.headers['authorization'];
    // You can process the header or add logic here.
});

پایان

متأسفانه ، API WebSocket اجازه اضافه مستقیم هدرهای سفارشی ، از جمله موارد مهم مانند Authorizationبشر با این حال ، چندین راه حل برای دستیابی به نتایج مشابه وجود دارد ، از جمله استفاده از پارامترهای URL ، انجام احراز هویت از طریق درخواست های HTTP یا استفاده از سرور واسطه. انتخاب رویکرد مناسب به مورد استفاده خاص و ملاحظات امنیتی شما بستگی دارد.

سوالات متداول

Q1: آیا می توانم از کوکی هایی با WebSockets استفاده کنم؟
بله ، کوکی ها بر اساس دامنه خود با درخواست های WebSocket ارسال می شوند ، بنابراین جلسات معتبر از طریق کوکی ها باید تا زمانی که کوکی ها به درستی تنظیم شوند ، کار کنند.

Q2: آیا ارسال نشانه ها در URL بی خطر است؟
ارسال توکن در URL به دلیل قرار گرفتن در معرض احتمالی در سیاهههای مربوط یا تاریخچه مرورگر ، به طور کلی نسبت به سایر روشها امنیت کمتری در نظر گرفته می شود. اگر ماهیت توکن حساس باشد ، همیشه روشهای ایمن را ترجیح دهید.

Q3: چه گزینه هایی برای WebSockets وجود دارد؟
اگر به توانایی ارسال هدر به راحتی نیاز دارید ، استفاده از رویدادهای سرور (SSE) یا روش های رای گیری طولانی را در نظر بگیرید که می تواند از هدرهای سفارشی و ادغام آسان تر با پروتکل های HTTP پشتیبانی کند.