要在FastApi中保護(hù)Websockets，請(qǐng)遵循以下關(guān)鍵實(shí)踐：1。使用Pydantic模型驗(yàn)證和消毒輸入，並避免直接執(zhí)行用戶輸入。 2。使用有效TLS證書的HTTPS和WSS和安全反向代理配置。 3。限制連接壽命和消息大小，以防止資源耗盡，並明確關(guān)閉未使用的連接。 4。在Websocket握手使用令牌或cookie之前對(duì)用戶進(jìn)行身份驗(yàn)證並授權(quán)用戶，並在會(huì)議期間重新檢查權(quán)限。這些步驟可確保安全的實(shí)時(shí)通信，而不會(huì)使您的設(shè)置過度複雜化。

WebSocket是實(shí)時(shí)通信的強(qiáng)大工具，但是安全性並不是事後的想法。如果您使用FastApi來構(gòu)建WebSocket端點(diǎn)，則應(yīng)遵循一些關(guān)鍵實(shí)踐，以確保事情安全而不會(huì)過度複雜設(shè)置。

驗(yàn)證和消毒輸入

就像使用常規(guī)的HTTP請(qǐng)求一樣，在Websocket上輸入的任何數(shù)據(jù)都應(yīng)被視為不信任。用戶可以發(fā)送各種有效載荷，如果您不小心，最終可能會(huì)執(zhí)行危險(xiǎn)的事情。

• 始終驗(yàn)證傳入消息的結(jié)構(gòu)和內(nèi)容
• 使用Pydantic模型來強(qiáng)制預(yù)期格式
• 避免直接評(píng)估或執(zhí)行用戶輸入
• 逃脫或消毒將在瀏覽器中渲染的任何數(shù)據(jù)

例如，如果您期望帶有用戶名和消息的JSON對(duì)象，請(qǐng)確保存在這些字段，並且在對(duì)其進(jìn)行任何操作之前是正確的類型。 FastApi不會(huì)像HTTP路由一樣在Websocket路線上自動(dòng)為您執(zhí)行此操作，因此您必須手動(dòng)處理它。

使用HTTPS和WSS

普通的Websocket連接（ ws:// ）就像HTTP一樣 - 它們沒有加密。這意味著您的客戶端和服務(wù)器之間的任何人都可以看到正在發(fā)送的內(nèi)容。對(duì)於生產(chǎn)應(yīng)用程序，您始終需要使用安全的Websocket（ wss:// ），即加密版本，就像HTTPS一樣。

• 確保您的反向代理（例如nginx或traefik）配置為安全處理WebSocket
• 使用有效的TLS證書 - 讓我們加密是一個(gè)可靠的免費(fèi)選項(xiàng)
• 不要在沒有適當(dāng)保護(hù)的情況下將HTTP和WebSocket交通混合

這不是FastApi直接處理的事情 - 更多的是您如何部署應(yīng)用程序。但這對(duì)於任何現(xiàn)實(shí)世界的部署都是必備的。

限制連接壽命和消息大小

Websocket長(zhǎng)期存在，非常適合性能，但如果不管理，可能會(huì)成為風(fēng)險(xiǎn)。惡意客戶端可以嘗試將連接保持永久打開，或者發(fā)送大量消息以壓倒您的服務(wù)器。

• 設(shè)定合理的超時(shí)時(shí)間
• 限制服務(wù)器將接受的最大消息大小
• 不再需要時(shí)明確關(guān)閉連接

FastAPI沒有開箱即用的這些設(shè)置，但是當(dāng)您創(chuàng)建WebSocket路由時(shí)，您可以控制它們：

來自FastApi Import fastapi，websocket

app = fastapi（）

@app.websocket（“/ws”）
async def websocket_endpoint（websocket：websocket）：
    等待websocket.accept（）
    嘗試：
        而真：
            data =等待websocket.receive_text（）
            ＃過程數(shù)據(jù)
    除例外為E：
        等待websocket.close（）

您也可以使用中間件或依賴項(xiàng)注入在需要時(shí)添加限制速率或連接跟蹤。

仔細(xì)認(rèn)證並授權(quán)

與HTTP不同，每個(gè)請(qǐng)求都可以單獨(dú)進(jìn)行身份驗(yàn)證，Websocket連接持續(xù)存在。這意味著您需要在連接開始時(shí)處理身份驗(yàn)證，並可能在會(huì)議期間重新檢查權(quán)限。

• 不要在不先驗(yàn)證用戶的情況下接受Websocket連接
• 在WebSocket握手之前，請(qǐng)使用令牌或cookie進(jìn)行身份驗(yàn)證
• 如果您的應(yīng)用程序使用會(huì)話，請(qǐng)確保在接受連接之前有效

一種常見的模式是連接時(shí)將訪問令牌作為查詢參數(shù)傳遞：

 const ws = new websocket（“ wss：//your-api.com/ws？token = abc123”）;

然後，在FastAPI中，您可以在接受連接之前提取該令牌並進(jìn)行驗(yàn)證。

最後筆記

在FastAPI中確保Websocket不是火箭科學(xué)，但確實(shí)需要注意一些關(guān)鍵領(lǐng)域：輸入驗(yàn)證，運(yùn)輸加密，資源限制和身份驗(yàn)證。這些都不難以實(shí)施，但是跳過任何一個(gè)都可以使您的應(yīng)用程序暴露出來。

如果您要在生產(chǎn)環(huán)境中部署，請(qǐng)不要忘記使用諸如wss://echo.websocket.org之類的工具測(cè)試您的設(shè)置，或使用Postman或websocat模擬不同類型的客戶端。

就是這樣 - 直接但很重要。

以上是使用Python Fastapi構(gòu)建安全的Websocket的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！