【发布时间】:2012-08-24 22:48:09
【问题描述】:
我有一个工作的 php 应用程序,我想在其中添加实时支持。我想使用 nodejs/socket.io 来添加这种功能。
我发现的第一个问题是如何在 nodejs 端正确授权用户(用户已经通过 PHP 会话在 php 后端进行了身份验证)。在 nodejs 端使用 socket.handshake.header.cookie 我可以解析并获取 PHP 会话 ID,我可以通过 redis/memcache/database 进行身份验证(取决于我用来保存会话信息的内容)。
当用户只打开网站的一个选项卡/窗口时,一切看起来都很酷 - 当拥有更多并使用 session_regenerate_id() 时,在 nodejs 中,用户使用另一个 sessionid 密钥进行身份验证,所以我无法区分两个选项卡由它们连接的套接字 id 以外的任何东西组成。当用户注销时,他不应该在任何选项卡上收到任何消息(因为他已经从该浏览器的每个选项卡/窗口上注销)。所以在注销消息(在注销 PHP 之前从浏览器发送)我应该删除所有连接到授权用户 ID 的套接字连接。但是如果用户在两个设备上登录(fe. pc 浏览器和 ipad safaris)会怎样。在一台设备上注销后,他不应该在他注销的设备上收到任何消息,而不是在每台设备上。 如何在 socket.io 中区分来自不同设备/浏览器的连接? 当然不使用 session_regenerate_id() 在这里会很有效,但是如果我真的想要我该怎么办使用此功能?
我遇到的另一个问题是安全问题(甚至是问题)。假设应用程序中的授权用户可以看到页面 example.com/user1(这是 user1 的新闻提要)并且看不到 example.com/user2(fe. he无权查看)。当用户在 example.com/user1 上时,我希望 socket.io 向浏览器发送更新消息,当然当用户在 example.com/user2 上时不发送更新消息强>网站。在 socket.io 方面,我可以读取引用地址(因此推测,当用户在 user2 站点上时,他没有得到任何 socket.io 连接)。问题是:我应该将引用地址与node.js 端经过身份验证的用户的权限进行比较吗?或者,在 node.js 端,referer 值是 safe 的? 在 node.js 端添加另一个数据库检查会减慢速度(因为几乎每个请求都应该有相同的数据库检查两个方面 - PHP 和 node.js)。
或者,我提出的 socket.io + PHP 应用程序的整个概念可能是错误的?
更新
我想我找到了一种方法来省略第一个问题的问题——基本上我只是添加了另一个 cookie(除了 PHPSESSID)fe。命名为 NODESESSID,我在授权用户时生成(fe. 使用 uniqid())。现在 node.js 端的授权正在比较 PHPSESSID 和 NODESESSID (两者都必须匹配)。现在,当用户注销时,他会将消息 logout 传递给 socket.io,并且 socket.io 会断开所有带有 NODESESSID 的套接字。这就像连接重新生成会话 ID 和不重新生成会话 ID 的好处(但不容易受到会话固定的影响,不是吗?)。
【问题讨论】:
-
好吧,我的猜测是引用者是从 http 标头中获取的,所以我认为它不安全。
-
我在第二个问题上遇到了完全相同的问题,您是否偶然找到了解决方法?
-
为什么不通过会话变量控制对页面的访问权限?例如 user1 可以看到他的个人资料,但不能看到 user2 选择不公开的 user2 个人资料 ..
$_SESSION["current_page"]="http://www.example.com/user1"; $_SESSION["canview"]=check_user_rights($_SESSION["userid"],$_SESSION["current_page"]on nodejsif(user1.canview){ // do stuff }else{ // do other studff } -
GeoPhoenix,在会话中存储页面不是好方法,因为用户可以同时访问多个站点(例如许多浏览器选项卡)。问题是关于节点和前端之间的安全问题(如何防止用户“入侵”引用地址,在哪个节点上识别它必须发送的内容)。文森特,很遗憾,除了在后端节点端再次检查权限之外,我没有找到任何方法。
标签: php security node.js authentication socket.io