【问题标题】:Flash Socket Security Tips?Flash Socket 安全提示?
【发布时间】:2011-01-31 15:27:27
【问题描述】:
过去几天我一直在玩套接字,并且对安全性有一些疑问。我在客户端运行 Flash websocket,在服务器上运行 PHP 套接字服务器。
我有一个应用程序,用户可以在其中创建私人聊天室。我的问题是,是否有任何我应该注意的安全问题?我正在聊天室页面上进行身份验证,以确保用户有权在那里等。
但是我需要在 websocketserver.php 上做些什么来防止人们在没有权限的情况下向房间发送消息吗?
【问题讨论】:
标签:
php
apache-flex
sockets
actionscript
【解决方案1】:
我正在聊天室页面上进行身份验证
什么样的“身份验证”?一次性登录以提供页面?这基本上是零安全性。
您必须发出某种令牌并在套接字连接开始时发送它,然后验证连接服务器端(通过令牌)以确保它来自经过身份验证的用户。否则,很容易连接到您的服务器并开始发送消息。
基本模型可能如下所示
- 用户登录聊天
- 验证用户数据等
- 为该用户颁发令牌,将此令牌存储在数据库中并发送到页面
- 启动套接字连接并发送令牌
- 检查websocket服务器中的token,获取匹配的用户
- 现在验证针对此用户权限的所有操作
至于令牌的生命周期,应该在连接终止后立即删除。