来自https://medium.com/@pgjones/websockets-in-quart-f2067788d1ee创建者的一篇中篇文章Quart:
验证
在授权请求时,控制接受的能力最有用,因为它允许检查请求标头并接受升级或返回 401。一个简单的例子是,
def auth_required(func): @wraps(func) async def wrapper(*args, **kwargs): auth = websocket.authorization if ( auth is not None and auth.username == current.app.config['USERNAME'] and compare_digest( auth.password, current.app.config['PASSWORD'], ) ): return await func(*args, **kwargs) else: abort(401) return wrapper @app.websocket('/ws') @auth_required async def ws(): ...
但是客户端 javascript 是如何导致websocket.authorization属性被填充的呢?
var ws = new WebSocket('ws://' + 'user' + ':' + 'pass' + '@' + document.domain + ':' + location.port + '/ws');在过去的几年中似乎已被弃用,并且不支持 Websocket 的 HTTP 请求中的自定义标头。