QA@IT
«質問へ戻る

0
本文
 
 そこでwebsocketでの認証時に
 ```
-var ws = new websocket(wss://xxx.xxx.xx?id=xx&pass=xx);
+var ws = new WebSocket(wss://xxx.xxx.xx?id=xx&pass=xx);
 ```
 
 のような形でwebsocketの初期化時に渡すURLにパラメータで認証用のデータをくっつけて、

websocketでユーザー認証について

apache+tomcat+postgresで構築したWEBサービスに
ユーザーにpush通知する仕組みを実装する予定で、そのユーザー認証の仕組みをどうすべきか悩んでいます。

javaのバージョンがwebsocketに対応していないため、
クライアントとのwebsocketのやり取りはjettyを間に置いて実現する想定です。

そこでwebsocketでの認証時に

var ws = new WebSocket(wss://xxx.xxx.xx?id=xx&pass=xx);

のような形でwebsocketの初期化時に渡すURLにパラメータで認証用のデータをくっつけて、

jettyで受け取ったデータをtomcatにhttpリクエスト送信してtomcat内で認証させ、
返ってきたレスポンスによってwebsocketを確立させるか切断するという方法を考えています。

ただ、何となくこの方法はセキュリティ的によろしくない気がするのですが、その根拠がはっきりしません。

絶対によくない理由があるのか、またあるならばどのような方法をとればいいのでしょうか。

apache+tomcat+postgresで構築したWEBサービスに
ユーザーにpush通知する仕組みを実装する予定で、そのユーザー認証の仕組みをどうすべきか悩んでいます。

javaのバージョンがwebsocketに対応していないため、
クライアントとのwebsocketのやり取りはjettyを間に置いて実現する想定です。

そこでwebsocketでの認証時に
```
var ws = new WebSocket(wss://xxx.xxx.xx?id=xx&pass=xx);
```

のような形でwebsocketの初期化時に渡すURLにパラメータで認証用のデータをくっつけて、

jettyで受け取ったデータをtomcatにhttpリクエスト送信してtomcat内で認証させ、
返ってきたレスポンスによってwebsocketを確立させるか切断するという方法を考えています。

ただ、何となくこの方法はセキュリティ的によろしくない気がするのですが、その根拠がはっきりしません。

絶対によくない理由があるのか、またあるならばどのような方法をとればいいのでしょうか。

質問を投稿

websocketでユーザー認証について

apache+tomcat+postgresで構築したWEBサービスに
ユーザーにpush通知する仕組みを実装する予定で、そのユーザー認証の仕組みをどうすべきか悩んでいます。

javaのバージョンがwebsocketに対応していないため、
クライアントとのwebsocketのやり取りはjettyを間に置いて実現する想定です。

そこでwebsocketでの認証時に

var ws = new websocket(wss://xxx.xxx.xx?id=xx&pass=xx);

のような形でwebsocketの初期化時に渡すURLにパラメータで認証用のデータをくっつけて、

jettyで受け取ったデータをtomcatにhttpリクエスト送信してtomcat内で認証させ、
返ってきたレスポンスによってwebsocketを確立させるか切断するという方法を考えています。

ただ、何となくこの方法はセキュリティ的によろしくない気がするのですが、その根拠がはっきりしません。

絶対によくない理由があるのか、またあるならばどのような方法をとればいいのでしょうか。

apache+tomcat+postgresで構築したWEBサービスに
ユーザーにpush通知する仕組みを実装する予定で、そのユーザー認証の仕組みをどうすべきか悩んでいます。

javaのバージョンがwebsocketに対応していないため、
クライアントとのwebsocketのやり取りはjettyを間に置いて実現する想定です。

そこでwebsocketでの認証時に
```
var ws = new websocket(wss://xxx.xxx.xx?id=xx&pass=xx);
```

のような形でwebsocketの初期化時に渡すURLにパラメータで認証用のデータをくっつけて、

jettyで受け取ったデータをtomcatにhttpリクエスト送信してtomcat内で認証させ、
返ってきたレスポンスによってwebsocketを確立させるか切断するという方法を考えています。

ただ、何となくこの方法はセキュリティ的によろしくない気がするのですが、その根拠がはっきりしません。

絶対によくない理由があるのか、またあるならばどのような方法をとればいいのでしょうか。