JWT, websockets и клиент-сервер через Интернет

Question

мы создаем веб-сервис с веб-серверами и клиентами ПК. клиентские программы подключаются к веб-серверу и отправляют некоторые данные по веб-сайтам. В клиенте нет взаимодействия с пользователем, нет паролей или логинов ... он просто отправляет некоторые данные, относящиеся к учетной записи клиента ...

что мы ' re обеспокоены, должен ли мы использовать JWT для предотвращения клиентской программы или захвата трафика или нет ...?

все статьи мы читали около браузеров <> веб-серверов, но не программы <> веб-серверы ....

спасибо за любые мысли!

Answer 1

Это верно, чтобы избежать запроса другого клиента на ваш сервер вы можете использовать JWT. Вы не упомянули, какие технологии вы используете. Вот пример с express и socket.io.
1) Клиент отправляет jwt на параметры запроса.
2) Сервер проверяет подпись jwt.

import express from "express"; 
import socket from "socket.io"; 
import http from 'http'; 

const server = http.createServer(app); 
const io = socket(server); 
io.use(async (socket, next) => { 

    if(!socket.handshake.query) 
    next(new Error('Not Authenticated')); 

    const token = socket.handshake.query.token; 
    const encUsrId = socket.handshake.query.pcClientToken; //maybe 
    try{ 
     let hasErrors; 

     if(token) 
     hasErrors = await jwt.validateJSON(token); //validate with your own function.  

     next(); 
    } 
    catch(ex){  
    next(new Error('Not a valid JWT')); 
    } 
});