Sto utilizzando una connessione WebSocket sicura ( wss://... ) per il trasferimento dei dati da e verso un'app a singola pagina.
Una volta che un client è stato autenticato, dovrei passare una sorta di token di autenticazione con ogni messaggio come farei con una tipica API REST (qualcosa come questo )? O è sicuro assumere l'integrità della connessione mentre è attiva?
Un WebSocket è una connessione persistente, a differenza di una chiamata REST. Se hai impostato una connessione sicura, l'autenticazione avviene come parte dell'handshake, quindi l'invio di un token di autenticazione con ogni messaggio probabilmente non sarà necessario.
Detto questo, l'invio di un token di autenticazione nei messaggi specifici può essere utile per la gestione delle sessioni. Ad esempio, dopo aver stabilito la connessione, il server può passare una chiave token / autenticazione per quella sessione al client. Se il client perde la connessione e quindi riesce a riconnettersi, è possibile utilizzare il token per verificare se il client è lo stesso.
Avrai bisogno di autenticazione se vuoi assicurarti che il chiamante della tua API REST sia lo stesso del client websocket, poiché sono in connessioni TLS separate.
Non è necessario eseguire l'autenticazione per la comunicazione di una singola connessione Websocket, poiché si trova in una singola connessione TLS, quindi l'integrità dei dati è garantita da TLS.
Leggi altre domande sui tag web-application websocket