我一直呆在这里,找不到可靠的解决方案。
我在服务器端使用 PHP,在客户端使用 Vanilla JS。
在服务器端,我正在为当前登录用户的频道生成一个身份验证令牌 (https://www.pubnub.com/docs/general/basics/manage-access),以使他能够通过以下代码读取他的频道消息:
当密钥超时时,我也会生成一个新的,所以生成时一切正常。
但我的问题从这里开始:
我将密钥传递给客户端,如下所示:
并且用户正在访问该频道。但问题是,我正在将此身份验证密钥传递给客户端。获得此用户身份验证令牌的人是谁;可以设置自己的客户端并可以读取发送给该用户的消息。
我该如何处理?
还有一个:
我正在发布到这样的 PHP 频道。但是我可以在不设置身份验证令牌的情况下做到这一点。我确定身份验证令牌系统正在工作,因为当我将错误的身份验证密钥传递给客户端时,它会给出 403 禁止。但是,我可以在此处无需身份验证密钥的情况下发布到频道。这是因为它是服务器端的吗?
谢谢!
谷歌搜索一切...
【问题讨论】:
此授权策略与 JWT 相同。有人将如何获得此身份验证令牌?如果您使用与服务器的安全连接(TSL,又名 https),并且您的 PHP 服务器是安全的,那么您可以做的就是这些。这是互联网 :)
现在最终用户的机器有多安全?他们是否容易受到网络钓鱼或其他可能允许黑客访问其计算机的计划的影响?人类是最容易被黑客入侵的东西,你真的无法做任何事情来保护他们;)
因此,就 PubNub 的安全性而言,您所做的正是大型公司 10 多年来一直在使用 PubNub 所做的事情。问题是您的服务器有多安全,黑客无法访问您的代码和数据并获取您的 PubNub 密钥。在我在 PubNub 的 9 年多时间里,我从来不知道会发生这种情况。
您授予了太多权限,但它没有任何负面影响。
read - subscribe(接收消息),fetch(来自历史的消息)和一些存在的东西(get/set state,here now)write - publish(发送消息)get 和 set - 这仅适用于与 pub/sub 不同的 PubNub Objects。
同样,授予对您授予的资源没有影响的权限不会造成任何伤害,但它会增加身份验证令牌的大小(在这种情况下只是一点点)。
当您执行 setToken 时,您将在用于调用 PubNub 操作的 pubnub 对象上进行设置。 PubNUb SDK 会自动将身份验证令牌作为查询参数添加到请求中。所以它会自动为你传递。
打开浏览器控制台,选择网络选项卡,然后查看任何 PubNub 请求/网址。您将看到查询参数名称 auth 并且值是您的身份验证令牌。
【讨论】: