请教关于websocket的权限控制

websocket发起连接是否能带有参数，比如用户ID和密码，以进行认证呢，还是在onopen事件里再进行？
如果在这里进行是否会被连接攻击？

你是直接用WebSocket来开发，没有用Socket.io这样的框架？

引用：JackJiang 发表于 2016-09-05 14:00
你是直接用WebSocket来开发，没有用Socket.io这样的框架？

嗯，其实我忌惮性能跟不上，用的是基于nginx一个开源产品实现的websocket协议，这个能带动百万连接，已经用在酷狗上面，不知道socket.Io是否有这样的案例，如果有的话，那我直接采用socket.IO可能会省去很多工作。

引用：kuangye 发表于 2016-09-05 14:07
嗯，其实我忌惮性能跟不上，用的是基于nginx一个开源产品实现的websocket协议，这个能带动百万连接，已经 ...

具体Socket.io怎么样你自已多查查资料，现在市面上差不多都是nodejs+这个，主要封装的很好，很好地解决的浏览器低版本兼容性。不多说了，回正题。

你WebSocket的权限控制可以参考这一篇有关Socket.io的，因为Socket.io也只是对WebSocket的封装，原理是一模一样的：https://facundoolano.wordpress.c ... o-no-query-strings/，这篇里所写的思路大差不差了。如果你直接用的是Socket.io话还有更优雅一点的方案，但没有本质区别。

引用：JackJiang 发表于 2016-09-05 14:12
具体Socket.io怎么样你自已多查查资料，现在市面上差不多都是nodejs+这个，主要封装的很好，很好地解决的 ...

好的，有劳了

可以在发起请求时，带在请求头里面或者带在url里面，和http是一样的。
我们这边的做法是在请求头里面带上用户的各种设备信息，登录是放到后续的消息内容里面去的，只有断线重连会再把token往头里面塞。

引用：hisune 发表于 2016-09-12 18:57
可以在发起请求时，带在请求头里面或者带在url里面，和http是一样的。
我们这边的做法是在请求头里面带上 ...

能解决问题就可以了。

学习了，不错