我有一个关于 websocket 安全性的问题。例如,使用 socket.io/express/passport 进行聊天功能进行身份验证。像这样:
socket.emit('chatMessage', {
msg: $('#m').val(),
userid: '{{user.id}}'
});
这安全吗?有人可以在发送消息时伪造自己的身份吗?如果是这样,有什么更好的方法来解决这个问题。谢谢!
【问题讨论】:
标签: node.js express websocket socket.io passport.js
你使用nodejs socket.io,你可以在nodejs中安装cors,然后导入cors var cors = require('cors');
你看:https://hoanguyenit.com/huong-dan-ket-hop-nodejs-vuejs.html https://hoanguyenit.com/chat-nodejs-vuejs.html
【讨论】:
这种方式不安全,除非他发送的是你提供的令牌。
最好的方法是在用户连接到服务器时对用户进行一次身份验证,而不是在每个.emit 上发送凭据
io.use(async(socket, next) => {
try {
// Use cookies, or query with a token provided
// by oAUTH or any kind of authentication method, or whatever method you whish
await authenticate(socket);
return next();
} catch(err) {
return next(new Error('Authentication error'));
}
});
io.on('connection', socket => /* ... */);
如果 auhtentication 有效,则每个 emit 都来自经过身份验证的套接字。
【讨论】: