すべてのWebSocket（またはTCP）要求でトークンを送信

Question

WebSocketを使用するクライアント/サーバーアプリケーションを開発しています。私はトークンベースの認証をJWTと実装しました。私のクライアントに有効なトークンがあれば、WebSocket の接続は無期限に開封されます。

の各トークンにトークンを送信することをお勧めしますか？誰かが接続をハイジャックする可能性はありますか？

私の質問は、実際に認証が必要なTCPベースの接続に適用されます。

Answer 1

誰かがハイジャックする可能性はありますか？ ...私の質問は、実際には認証を必要とするTCPベースの接続に適用されます。

はい、既存のTCP接続をハイジャックすることも、新しいTCPコネクションを開始するときに真ん中の人にすることもできます。これに対する保護は、攻撃者によって単純に複製される可能性があるため、各メッセージ内で認証を送信することではありません。代わりに、WebSocketやTLS、IPSecなどの場合は暗号化を使用してください（wss://）。これらは中間攻撃（ハイジャック）とパッシブスニッフィングの両方のアクティブな人物から保護します。