gpt4 book ai didi

ssl - 使用 SSL 进行传输时,SignalR 中的 ConnectionToken 是否应该受到保护?

转载 作者:太空宇宙 更新时间:2023-11-03 13:23:44 32 4
gpt4 key购买 nike

ConnectionToken 在 SignalR 中的具体作用是什么?

我检查了 fiddler 中的 SignalR 握手,发现在对协商请求的响应中传递了一个 ConnectionToken,然后传递了所有后续请求。

但是,在检查 WS 框架时,我没有看到该 ConnectionToken 的踪迹。是因为 fiddler 对我隐藏了它还是根本没有通过网络传递?

如果是因为它没有通过电线,它的目的是什么?如果它通过电线传递,即使传输是通过 ssl,它是否也被认为是 secret ?攻击者如何利用该 token ?

最佳答案

连接 token 是包含连接 ID 和用户名(如果可用)的加密字符串。它需要与客户端发送到服务器的每个 http 请求一起发送。如果服务器收到没有连接 token 的请求,或者如果它无法解密连接 token ,它将拒绝该请求。要阅读有关连接 token 及其工作原理的更多信息,请查看 this article .

您在 websocket 帧中看不到连接 token ,因为在打开 websocket 时(connect 请求)验证了连接 token ,并且不需要进一步验证(这对其他人来说是不可能的)使用这个 websocket)。如果连接断开并且客户端尝试重新连接,您将再次看到连接 token 。

其他传输发送更多的 http 请求(例如发送消息),你会看到基本上每个请求(ping 除外)都包含连接 token 。你可以看看SignalR protocol description我前段时间写过更多详细信息。

关于ssl - 使用 SSL 进行传输时,SignalR 中的 ConnectionToken 是否应该受到保护?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40344127/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com