ruby on rails 5 - room - Enviar auth_token para la autenticación a ActionCable

Como ya dije en un comentario, la respuesta aceptada no es una buena idea , simplemente porque la convención es que la URL no debe contener datos tan confidenciales . Puede encontrar más información aquí: https://tools.ietf.org/html/rfc6750#section-5.3 (aunque esto es específicamente sobre OAuth).

Sin embargo, existe otro enfoque: usar la autenticación básica HTTP a través de la URL ws . Descubrí que la mayoría de los clientes de websocket le permiten establecer implícitamente los encabezados anteponiendo la url con una autenticación básica http como esta: wss://user:[email protected]/cable .

Esto agregará el encabezado de Authorization con un valor de Basic ... En mi caso, estaba usando el devise-jwt y simplemente implementé una estrategia heredada de la proporcionada en la gema que saca el jwt del encabezado de Authorization . Así que configuro el url de esta manera: wss://[email protected]/cable que establece el encabezado en este (pseudo): Basic base64("token:") y lo analizo en la estrategia.

Desafortunadamente para las conexiones de websocket, las cabeceras adicionales y las personalizadas no son compatibles con la mayoría de los ² clientes y servidores de websocket. Así que las opciones posibles son:

• Adjuntar como un parámetro de URL y analizarlo en el servidor

  path.to.api/cable?token=1234 # and parse it like request.params[:token]

Contras : podría ser vulnerable, ya que podría terminar en registros e información del proceso del sistema disponible para otros que tienen acceso al servidor, más here

Solución : cifre el token y adjúntelo, de modo que incluso si se puede ver en los registros, no serviría de nada hasta que se descifre.

• Adjuntar JWT en uno de los parámetros permitidos.

Lado del cliente:

# Append jwt to protocols new WebSocket(url, existing_protocols.concat(jwt))

action-cable-react-jwt una action-cable-react-jwt biblioteca JS action-cable-react-jwt para React y React-Native que solo hace esto. Sientase libre de usarlo.

Lado del servidor:

# get the user by # self.current_user = find_verified_user def find_verified_user begin header_array = self.request.headers[:HTTP_SEC_WEBSOCKET_PROTOCOL].split('','') token = header_array[header_array.length-1] decoded_token = JWT.decode token, Rails.application.secrets.secret_key_base, true, { :algorithm => ''HS256'' } if (current_user = User.find((decoded_token[0])[''sub''])) current_user else reject_unauthorized_connection end rescue reject_unauthorized_connection end end

¹ La mayoría de las API de Websocket (incluidas las de Mozilla''s ) son como la siguiente:

El constructor WebSocket acepta un parámetro requerido y un parámetro opcional:

WebSocket WebSocket( in DOMString url, in optional DOMString protocols ); WebSocket WebSocket( in DOMString url, in optional DOMString[] protocols );

url

La URL a la que conectarse; esta debe ser la URL a la que responderá el servidor WebSocket.

protocols opcionales

Ya sea una sola cadena de protocolo o una matriz de cadenas de protocolo. Estas cadenas se utilizan para indicar subprogramas, de modo que un solo servidor puede implementar múltiples subprivios de WebSocket (por ejemplo, es posible que desee que un servidor pueda manejar diferentes tipos de interacciones según el protocolo especificado). Si no especifica una cadena de protocolo, se asume una cadena vacía.

² Siempre hay excepciones, por ejemplo, este node.js lib ws permite crear encabezados personalizados, por lo que puede usar el habitual Authorization: Bearer token encabezado de Authorization: Bearer token , y analizarlo en el servidor, pero tanto el cliente como el servidor deberían usar ws .

En caso de que alguno de ustedes quiera usar ActionCable.createCustomer. Pero tengo token renovable como lo hago yo:

const consumer = ActionCable.createConsumer("/cable") const consumer_url = consumer.url Object.defineProperty( consumer, ''url'', { get: function() { const token = localStorage.getItem(''auth-token'') const email = localStorage.getItem(''auth-email'') return consumer_url+"?email="+email+"&token="+token } }); return consumer;

Luego, en caso de que se pierda la conexión, se abrirá con un nuevo token nuevo.

En cuanto a la seguridad de la respuesta de Pierre : si está utilizando el protocolo WSS, que utiliza SSL para el cifrado, los principios para el envío de datos seguros deberían ser los mismos que para HTTPS. Cuando se utiliza SSL, los parámetros de la cadena de consulta se cifran, así como el cuerpo de la solicitud. Entonces, si en las API HTTP está enviando cualquier tipo de token a través de HTTPS y lo considera seguro, entonces debería ser el mismo para WSS. Solo recuerde que igual que para HTTPS, no envíe credenciales como contraseña a través de parámetros de consulta, ya que la URL de la solicitud podría registrarse en un servidor y, por lo tanto, almacenarse con su contraseña. En su lugar, utilice elementos como tokens que son emitidos por el servidor.

También puede consultar esto (esto básicamente describe algo como la autenticación JWT + la verificación de la dirección IP): https://devcenter.heroku.com/articles/websocket-security#authentication-authorization .

Logré enviar mi token de autenticación como un parámetro de consulta.

Al crear mi consumidor en mi aplicación javascript, paso el token en la URL del servidor de cable de esta manera:

wss://myapp.com/cable?token=1234

En mi conexión de cable, puedo obtener este token accediendo a request.params :

module ApplicationCable class Connection < ActionCable::Connection::Base identified_by :current_user def connect self.current_user = find_verified_user logger.add_tags ''ActionCable'', current_user.name end protected: def find_verified_user if current_user = User.find_by(token: request.params[:token]) current_user else reject_unauthorized_connection end end end end

Claramente no es ideal, pero no creo que puedas enviar encabezados personalizados al crear el websocket.

Otra forma (la forma en que lo hice al final en lugar de mi otra respuesta) sería tener una acción de authenticate en tu canal. Utilicé esto para determinar el usuario actual y configurarlo en la conexión / canal. Todas las cosas se envían a través de websockets, por lo que las credenciales no son un problema aquí cuando las tenemos encriptadas (es decir, wss ).

También es posible pasar el token de autenticación en los encabezados de solicitud y luego validar la conexión accediendo al hash de request.headers . Por ejemplo, si el token de autenticación se especificara en un encabezado llamado ''X-Auth-Token'' y su modelo de usuario tiene un campo auth_token que podría hacer:

module ApplicationCable class Connection < ActionCable::Connection::Base identified_by :current_user def connect self.current_user = find_verified_user logger.add_tags ''ActionCable'', current_user.id end protected def find_verified_user if current_user = User.find_by(auth_token: request.headers[''X-Auth-Token'']) current_user else reject_unauthorized_connection end end end end

para agregar a las respuestas anteriores, si usaste tu JWT como parámetro, deberás tener al menos btoa(your_token) @js y Base64.decode64(request.params[:token]) @rails como rails considera dot '' . un separador para que su ficha se corte @rails params side

La respuesta de Pierre funciona. Sin embargo, es una buena idea ser explícito acerca de esperar estos parámetros en su aplicación.

Por ejemplo, en uno de sus archivos de configuración (por ejemplo, application.rb , development.rb , etc ...) puede hacer esto:

config.action_cable.mount_path = ''/cable/:token''

Y luego simplemente acceda a él desde su clase de Connection con:

request.params[:token]