WebSocket 认证与安全（JWT、Origin 校验、子协议与权限）

WebSocket 认证与安全（JWT、Origin 校验、子协议与权限）关键实践与参数握手认证：在查询/头中携带短期 JWT；服务端校验签名与权限。Origin 校验：限制来源域；防止跨站滥用。子协议：定义 `Sec-WebSocket-Protocol` 用于版本与权限控制。续期与撤销：短期令牌 + 黑名单；连接期内刷新策略。验证方法模拟越权与过期令牌；应拒绝握手与断连。压测并发与重连；观察认证缓存与性能。日志审计：记录握手与权限决定，便于排障。注意事项HTTPS/WSS 强制；防止中间人攻击。令牌最小权限与最短有效期；避免长期凭证。与网关限流与后端权限一致性。