【发布时间】:2011-08-13 19:55:00
【问题描述】:
我正在为一个基本的聊天程序编写一个简单的协议。 我的问题是:一旦客户端通过提供用户名和密码进行身份验证,我是否还应该要求客户端在其以下数据包中提供令牌?还是将其身份验证状态保留在服务器的表中并且永远不要期望客户端在断开连接并重新连接之前证明它?
【问题讨论】:
标签: c++ security sockets authentication client-server
【发布时间】:2011-08-13 19:55:00
【问题描述】:
在客户端提供正确的凭据后,您不应要求对任何进一步的消息进行身份验证。如果您怀疑,每条消息都应包含身份验证信息,并且在此实现中,您无需通过“登录”进行身份验证 - 只需要求每条消息的安全信息。
成功登录后,您可能需要用户凭据的唯一情况是更新客户端信息(由客户端本身),其中包括更改密码和其他“用户”信息。发起“更改密码”请求时,您必须要求输入密码。
确保身份验证附加了一些加密,以便没有人可以截获消息。您可能还有一些密钥(如几个字节字符串),您可以验证每个传入消息以确保消息来自正确的客户端(这是根据您的原始设计,而不是我在第一段中给出的替代设计)。
【讨论】: