app 通过 websocket 与后台端通信如何保证安全性

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 256 天前的主题，其中的信息可能已经有所发展或是发生改变。

目前项目有个需求，用户 app 二维码被扫码头扫了之后，能即时收到通知。当前做法：扫码头扫码之后将数据传输至后端（ java 实现），后台通过 mpass 进行提醒，用户反馈通知有延迟，不开通知也收不到；新方案：考虑采用 websocet 通知，app 在展码阶段就通过 websocket 与后端建立连接，扫码头扫到码之后通过 websocket 主动推送通知到 app 端。目前遇到几个问题：（ 1 ）安全性如何实现，需要采用 SSL 认证吗（ 2 ）后端分布式多节点，目前能想到的是把连接信息和节点信息都存起来，发通知的时候根据找特定节点去发，有没更好的方式呢

请教各位大佬，帮忙看看

WebSocket

通知

App

扫码

20 条回复 • 2023-08-16 10:07:01 +08:00

cpstar

256 天前

支付二维码都是怎么做的？

iOCZ

256 天前

wss vs ws

haha512

256 天前

1. 肯定要用 SSL 认证，即 wss ，不然和直接 http 没啥区别，安全有问题
2. 多节点按照 ip 均衡

cheng6563

256 天前

1.套个 TLS 就行了
2.A.把所有连接会话存到公共存储。B.后端提供非负载均衡的 WebSocket 服务列表，客户端根据自己的 ID 取模规则连接指定的服务，后端也根据同样的规则找节点。

sujin190

256 天前

其实 websocket 状态管理确实挺复杂的，你这个需要展码前就完成 websocket 建立吧，安全性加 TLS 就行但是服务端还是要用 token 做下校验

其实这种短时通知其实用 http long polling 更方便，可重入实时性也有保证，展码和 http long polling 请求无关前后，spring boot 可以用 DeferredResult 就可以在等待期间释放工作线程了，其它框架估计也有类似支持，如果有多节点的话可以考虑这种

https://gist.github.com/snower/f8ef25e57c72f9b41fb31ee8b164193b

http long polling 的好处就是依然是无状态的，实现和维护都简单，而实时性和 websocket 一样

mango88

256 天前

这种场景 long polling 会简单一点把

doveshelly

256 天前

@sujin190 http long polling 支持服务服务端主动推送通知给 app 吗？目前设计的是在展码时 app 就去连后台的，关闭码就断开连接

xiangyuecn

256 天前

参考二维码登录，不要想复杂了

doveshelly

256 天前

@xiangyuecn 还是有点不一样的哈，二维码登录是 app 主动去扫，我们这个是 app 生成码被动扫。。

xiangyuecn

256 天前

说你不要想复杂了你不信😂

sujin190

256 天前

@doveshelly #7 http long polling 就是用于服务端主动给前端应用推送消息的，流程显示二维码的时候请求一个后端接口，但是这个接口不立刻返回，而且等着另外一个用户扫码之后请求已扫描接口请求来触发这个接口的返回，所以这个也是实时的，之所以这个流程依然是无状态的，是因为服务端会缓存已扫码状态一小段时间，所以无所谓先扫码还是先请求 http long polling ，而且如果请求 http long polling 超时就再次重试就行，知道关闭二维码页面，实现起来也简单，和轮询实现逻辑差不多，但是再次重试不延时所以是实时的