如何保护 Socket.IO?

【问题标题】:How do I secure Socket.IO?如何保护 Socket.IO?
【发布时间】:2012-07-16 05:07:51
【问题描述】:

我已经使用 Socket.IO 工作了几天,这既令人兴奋又令人沮丧。当前文档/教程的缺乏使得学习变得非常困难。我终于设法创建了一个基本的聊天系统,但有一个明显的问题。如何保护它?

是什么阻止了恶意用户复制(或编辑)我的代码并连接到我的服务器?我可以从我的 PHP 脚本中获取用户名并将其提交给 Socket.IO,这样我就可以将他们识别为那个用户(当然 PHP 具有安全性),但是是什么阻止了某人只提交未注册的用户名呢?

如何确保提交的事件是真实的并且没有被篡改?

我的基本 socket.io 聊天以供参考。

服务器:

var io = require('socket.io').listen(8080);
var connectCounter = 0;
io.sockets.on('connection', function (socket) {
connectCounter++;
 console.log('People online: ', connectCounter);

socket.on('set username', function(username) {
socket.set('username', username, function() {
console.log('Connect', username);

    });
});
socket.on('emit_msg', function (msg) {
    // Get the variable 'username'

socket.get('username', function (err, username) {
      console.log('Chat message by', username);
      io.sockets.volatile.emit( 'broadcast_msg' , username + ': ' + msg );
    });

  });

socket.on('disconnect', function() { connectCounter--; });
});

客户:

    <?php session_start() ?>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf-8" />
    <title>untitled</title>
</head>
<body>
<input id='message' type='text'>
<div id="content"></div>
<script src="http://localhost:8080/socket.io/socket.io.js"></script>
<script src="http://code.jquery.com/jquery-latest.js"></script>

<script>
  var socket = io.connect('http://localhost:8080');
$.ajax({
type: 'GET',
  url: 'https://mysite.com/execs/login.php?login_check=true',
  dataType: 'json',
   success: function(data) {
var username = data.username;
socket.emit('set username', username, function (data){
});

}
});

  socket.on('broadcast_msg', function (data) {
        console.log('Get broadcasted msg:', data);
        var msg = '<li>' + data + '</li>';
        $('#content').append(msg);
      });


$('#message').keydown(function(e) {
if(e.keyCode == 13) {
e.stopPropagation();
          var txt = $(this).val();
          $(this).val('');
          socket.emit('emit_msg', txt, function (data){
            console.log('Emit Broadcast msg', data);
          });
}
});
</script>
</body>
</html>

这一切都很好,除了绝对没有安全性。

【问题讨论】:

  • 一个起点 -> github.com/LearnBoost/socket.io/wiki/Authorizing
  • 添加到@ManseUK 所说的内容,如果提供的用户名也已登录,则可以检查回调。这对于防止仅与实际登录的人聊天至关重要。跨度>
  • 另一种选择是使用用户名/密码在 PHP 中进行身份验证,然后保存 cookie - 然后在 Node.js 中检查 cookie 的存在和内容

标签: javascript security node.js socket.io


【解决方案1】:

如果你可以在你的节点服务器上安装一个像Redis这样的键值对存储,你可以使用像Predis这样的Redis客户端从你的php服务器远程访问它。您所要做的就是在您的 php 服务器中发生新的登录/注销时更新节点服务器上的远程会话存储。

查看此帖子了解详情:Authenticate user for socket.io/nodejs

【讨论】:

    【解决方案2】:

    优秀的 express 护照框架使用安全 cookie 来验证身份。甚至还有一个module 可以从socket.io 访问它。

    【讨论】:

      猜你喜欢
      • 2013-01-14
      • 1970-01-01
      • 2013-03-12
      • 2017-01-27
      • 2017-06-24
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-06-26
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode