【问题标题】:PHP Websocket authenticate user in a test (pass session cookie)PHP Websocket 在测试中对用户进行身份验证(通过会话 cookie)
【发布时间】:2016-09-29 13:25:15
【问题描述】:

我正在尝试测试一个场景,一方面,匿名用户应该立即断开与 Websocket 连接的连接,另一方面,经过身份验证的用户应该留在 Websocket 连接中。第一种情况很容易通过使用下面的代码进行测试。身份验证过程不起作用。

对于会话存储,我将 Cookie 身份验证与数据库结合使用:Symfony PDO Session Storage。一切正常,但是在使用身份验证测试所描述的行为时,我不知道如何在测试中对用户进行身份验证。作为客户,我使用的是Pawl asynchronous Websocket client.,如下所示:

\Ratchet\Client\connect('ws://127.0.0.1:8080')->then(function($conn) {
    $conn->on('message', function($msg) use ($conn) {
        echo "Received: {$msg}\n";
    });

    $conn->send('Hello World!');
}, function ($e) {
    echo "Could not connect: {$e->getMessage()}\n";
});

我知道作为第三个参数,我可以将标头信息传递给“connect”方法,但是我找不到一种方法,以便在 ws 握手期间连接客户端并正确传递 cookie。我想到了类似的东西:

  1. 通过创建authentication token 来验证客户端
  2. 我使用序列化用户在数据库的会话表中创建一个新条目
  3. 我将创建的 cookie 作为第三个参数传递给 connect 方法

这是我认为可行的理论,但用户始终在 websocket 端保持匿名。到目前为止的理论代码如下:

// ...
use Symfony\Bundle\FrameworkBundle\Test\WebTestCase;

class WebsocketTest extends WebTestCase
{

    static $closed;

    protected function setUp()
    {
      self::$closed = null;
    }


    public function testWebsocketConnection()
    {
      $loop = Factory::create();
      $connector = new Connector($loop);

      // This user exists in database user tbl
      $symfClient = $this->createSession("testuser@test.com");

      $connector('ws://127.0.0.1:80', [], ['Origin' => 'http://127.0.0.1', 'Cookie' => 
                 $symfClient->getContainer()->get('session')->getName() . '=' 
                . $symfClient->getContainer()->get('session')->getId()])
        ->then(function(WebSocket $conn) use($loop){

            $conn->on('close', function($code = null, $reason = null) use($loop) {
                self::$closed = true;
                $loop->stop();
            });
            self::$closed = false;

        }, function(\Exception $e) use ($loop) {
            $this->fail("Websocket connection failed");
            $loop->stop();
        });

      $loop->run();

      // Check, that user stayed logged
      $this->assertFalse(self::$closed);
    }

    private function createSession($email)
    {
      $client = static::createClient();
      $container = $client->getContainer();

      $session = $container->get('session');
      $session->set('logged', true);

      $userManager = $container->get('fos_user.user_manager');
      $em = $container->get('doctrine.orm.entity_manager');
      $loginManager = $container->get('fos_user.security.login_manager');
      $firewallName = 'main';

      $user = $userManager->findUserByEmail($email);

      $loginManager->loginUser($firewallName, $user);

      // save the login token into the session and put it in a cookie
      $container->get('session')->set('_security_' . $firewallName,
        serialize($container->get('security.token_storage')->getToken()));
      $container->get('session')->save();
      $client->getCookieJar()->set(new Cookie($session->getName(), $session->getId()));


      // Create session in database
      $pdo = new PDOSessionStorage();
      $pdo->setSessId($session->getId());
      $pdo->setSessTime(time());
      $pdo->setSessData(serialize($container->get('security.token_storage')->getToken()));
      $pdo->setSessLifetime(1440);

      $em->persist($pdo);
      $em->flush();

      return $client;
  }

}

作为 config_test.yml,我通过以下方式配置会话:

session:
    storage_id:     session.storage.mock_file
    handler_id:     session.handler.pdo

对于服务器端 websocket 实现,我使用的是 Ratchet,它被以下 Symfony 捆绑包包装:Gos Websocket Bundle

测试websockets时如何认证用户?在 websocket 服务器上,用户总是类似于“anon-15468850625756b3b424c94871115670”,但是当我手动测试时,他连接正确。

附加问题(次要):如何测试订阅主题? (发布订阅) 互联网上没有关于此的博客条目或其他任何内容。

更新:没有人对他们的 websocket 进行过功能测试?这是不重要的、无用的,还是为什么没有人能在这个重要的话题上提供帮助?

【问题讨论】:

  • 您只是在寻找传递 cookie 的方法,还是想立即发送例如 sessionId/userId?
  • 我已经用我写的代码更新了这个问题。问题是,在 Ratchet 方面,用户在测试中保持匿名。也许我错误地传递了cookie。会话 ID 在 cookie 中传输。
  • 'Cookie' => $symfClient->getContainer()->get('session')->getId() . '=' . $symfClient->getContainer()->get('session')->getId() 确定这是正确的吗?第一个不应该是 cookie 名称吗?
  • @user3746259 好吧,我猜不出那里出了什么问题,所以,第一步,直接查看棘轮的 websocket 代码,收到的原始标头是什么?它符合您的期望吗? ... 调试您的应用程序,直到找到源代码。这可能是一项乏味的任务,但到最后,您通常会知道失败的原因。
  • @user3746259 似乎没有人遇到过这个问题。唯一的解决方案是在那里进行核心调试,对不起;o)

标签: php symfony testing websocket ratchet


【解决方案1】:

你有一个本末倒置的情况。当您在客户端连接上设置 cookie 时,该 cookie 仅在 后续 请求(websockets 或 XHR、GET、POST 等)上发送,前提是 cookie 限制(httpOnly、安全、域、路径等) ) 匹配。

任何可用的 cookie 都会在 websocket 连接的初始握手期间发送。在打开的连接上设置 cookie 将在客户端上设置 cookie,但由于套接字已经是一个打开的连接并已建立(握手后),服务器将在该连接期间对这些 cookie 视而不见。

有些人在握手期间成功设置了 cookie。但是,这需要服务器和客户端套接字实现支持此行为并将凭据作为获取参数传递(不好的做法)。

所以我认为你唯一真正的选择是:

  • 通过 XHR 或其他请求处理身份验证打开 websocket
  • 使用 websocket 进行身份验证,但在成功登录后:
    • 设置您的身份验证 cookie
    • 关闭现有套接字
    • 从客户端启动一个新套接字(然后将携带您的身份验证 cookie)
  • 完全忘记 cookie,并根据打开连接的请求/资源 ID 在服务器上处理身份验证交换。

如果您选择最后一个选项,您仍然可以设置 cookie 并查找 cookie 以在重新连接时恢复连接。

【讨论】:

    猜你喜欢
    • 2012-03-26
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-07-28
    • 2012-12-27
    • 2013-12-29
    • 1970-01-01
    • 2017-07-03
    相关资源
    最近更新 更多