在WebSocket协议中,握手过程中的Sec-WebSocket-Key是一个由客户端生成的随机字符串,用于安全地建立WebSocket连接。这个Sec-WebSocket-Key是基于Base64编码的,并且通常由客户端在WebSocket握手请求的头部字段中发送。根据WebSocket协议规范(RFC 6455),Sec-WebSocket-Key的长度应该是16字节(128位)。
生成过程
客户端生成:客户端首先生成一个随机的16字节(128位)的密钥。这个密钥可以是任何随机生成的字节序列。
Base64编码:然后,这个16字节的随机数被编码为Base64字符串。Base64编码会将原始的二进制数据转换为ASCII字符串,使得这些数据可以通过文本传输。由于16字节可以表示为128位,转换成Base64编码后,长度会增加大约33%。因此,编码后的字符串长度大约为24字节(在大多数实现中,不包括填充字符=)。
发送:客户端将这个Base64编码的字符串放在HTTP头部字段Sec-WebSocket-Key中,并发送给服务器。
示例
例如,一个16字节的随机数(二进制表示)可能是:
0xb3 0x7a 0x4f 0x2c 0xc0 0x65 0x22 0xf9 0x39 0x87 0x79 0x09 0xb4 0x84 0x5e 0xf8
将其转换为Base64编码后,得到:
b7pPwmFmJSIvnxmZjRg=
这个Base64字符串就是Sec-WebSocket-Key的值,长度大约为24字节。
注意事项
填充:在一些实现中,Base64编码后的字符串可能包含=字符作为填充,以确保编码后的字符串长度是4的倍数。但在大多数情况下,WebSocket握手请求中使用的Base64编码不包括这些填充字符。
服务器响应:服务器在接收到客户端的Sec-WebSocket-Key后,会生成一个类似的响应头部字段Sec-WebSocket-Accept,该字段的值是通过将客户端的Sec-WebSocket-Key值与一个特定的GUID字符串(258EAFA5-E914-47DA-95CA-C5AB0DC85B11)进行连接,然后对整个结果进行SHA-1哈希,最后将哈希值再进行Base64编码得到的。这个过程确保了双方都能安全地验证对方的身份,并建立加密的WebSocket连接。
总结,Sec-WebSocket-Key应该是16字节(128位),但在实际应用中通过Base64编码后通常表示为大约24字节的字符串。
SHA-1生成的摘要长度为20字节(160位),通常以40个十六进制字符表示。
核心信息
- 160位:SHA-1算法将输入数据转换为固定长度的160位二进制输出,对应20字节。
- 十六进制表示:由于每个十六进制字符占用4位,因此最终呈现为40个十六进制字符(如
abcdef...)。 - 安全性问题:由于存在安全漏洞,SHA-1已被逐步淘汰,当前更推荐使用SHA-2或SHA-3算法。