依赖websocket连接安全吗？

Question

在基于安全websocket的客户端服务器通信场景中，客户端被安全地授权，从那里开始，我有两个选择：

1. 分配一个唯一的随机ID (会话)并检查后续通信。
2. 依赖于套接字连接，并保留一个套接字对象的句柄(在内部使用它自己的会话)。

当然，如果已正确实现，则第一选择是安全的。我的问题是，第二个是否安全。如果有人能够以不删除连接的方式拦截websocket连接，则不能认为此选择是安全的。我该担心这个吗？

Answer 1

如果webSocket连接使用的是SSL/TLS，那么它在连接后不能被“截获”或“劫持”。这是SSL/TLS的基本保护之一。

建立这种连接的部分原因是端点安全地以加密密钥(通过公钥/私钥技术创建)结束，而拦截连接(所谓中间人攻击)的端点将没有适当的加密密钥，因此无法读取正在发送的数据或将数据注入到连接上。他们无法阅读，因为数据是用他们没有的密钥加密的。它们无法发送数据，因为它们没有适当的密钥来加密将通过传入安全测试的数据。