Post qui per sapere se il mio meccanismo di autenticazione su websocket è valido.
L'API dell'app funziona su Websocket anziché sul resto HTTP standard. Ogni volta che si accede a un percorso protetto tramite websocket, il JWT viene inviato con il messaggio WebSocket sul client al server. Sul server, se la risorsa utilizzata richiede l'autenticazione, il JWT è verificato.
Sto usando sockJS e sul loro github dicono: .
An iframe is hosted from target SockJS domain. That means the server will receive requests from the iframe, and not from the real domain. The domain of an iframe is the same as the SockJS domain. The problem is that any website can embed the iframe and communicate with it - and request establishing SockJS connection. Using cookies for authorisation in this scenario will result in granting full access to SockJS communication with your website from any website. This is a classic CSRF attack.
Tuttavia questo non sembra applicarsi a JWT websocket invece dei cookie in HTTP o lo fa?
Inoltre, mi chiedo se posso autenticare solo una volta e mantenere un flag authenticated: true sul lato server della connessione websocket. Ha senso non dover autenticare l'utente ad ogni richiesta.
Come ho capito JWT, sono limitati nel tempo con expire , quindi non funzionerebbe, giusto?
Quindi riassumendo:
- Posso eseguire l'autenticazione solo una volta?
- C'è qualche difetto evidente qui, come CSRF?