我有一个 Node.js 服务器,我正在向其发送 Web 套接字升级请求。此请求的授权标头包含登录信息,我需要将其与数据库条目进行比较。我不确定如何阻止 Web 套接字连接打开,直到执行数据库查询回调之后。
以下是我目前正在做的事情的简化:
var Express = require('express')
var app = Express()
server = app.listen(app.get("port"), function () {})
server.on("upgrade", function (request, socket) {
//Query database
//On success set "authenticated" flag on request (later accessed through socket.upgradeReq)
//On failure abort connection
})
这是可行的,但是在短时间内套接字处于打开状态,但我尚未验证授权标头,因此恶意用户可能会发送/接收数据。我通过使用“经过身份验证”标志来减轻实施中的这种风险,但似乎必须有更好的方法。
我尝试了以下操作,但是虽然它们似乎拦截了除升级请求之外的所有请求:
Attempt #1:
app.use(function (request, response, next) {
//Query database, only call next if authenticated
next()
})
Attempt #2:
app.all("*", function (request, response, next) {
//Query database, only call next if authenticated
next()
})
可能值得注意的是:
我也有一个 HTTP 服务器,它使用相同的端口并接受注册和登录的 POST 请求。
感谢您的帮助,如果需要更多信息,请告诉我。