Node.js 似乎有在文档不足或没有文档的情况下获取有用模块的诀窍。 socket.io 就是这样一个模块。我想为命名空间使用内置的授权功能,但我不知道在客户端这将如何工作。服务器端,他们提供了足够的文档,但除此之外我不确定。
编辑:我不想知道如何从客户端获取 cookie 数据——我知道该怎么做,而是如何直接从客户端传递数据(例如用户名和密码)客户端,通过 javascript。
【问题讨论】:
标签: authentication node.js authorization real-time socket.io
有很多关于使用 Socket.IO 进行授权的不错的文档:https://github.com/LearnBoost/socket.io/wiki/Authorizing(向下滚动到“命名空间授权”和“客户端如何处理全局授权”)
您具体要达到什么目标?这听起来有点像您试图通过 Socket.IO “发布”用户名/密码。 Socket.IO 身份验证发生在握手阶段,因此您可以执行以下操作:
在通用授权后“发出”用户名/密码组合(希望您使用 TLS),并在身份验证错误后断开用户(相当平庸的方法 IMO)
请改用服务器端会话信息进行身份验证。这可能是所需的方法,因为您的服务器端握手数据应该包含您需要确定用户是否经过身份验证的所有内容。您应该在连接到套接字之前依赖对 HTTP 会话的身份验证,这样您就不会在每次尝试连接到 socket.io 时都传输用户名/密码组合(如果您回退,这可能会很多在 XHR 上)。有很多关于此的文章,但这是一个好的开始:http://www.danielbaulig.de/socket-ioexpress/
【讨论】:
io.of('/private').authorization(function (handshakeData, callback) { sessionStore.get(cookie['sid'], function(err, session) { if (err || !session) { callback('Error', false); } else { data.session = session; callback(null, true); } }); });