我正在尝试创建一个具有一些实时功能的Flash应用程序,并希望使用Redis的pubsub功能,该功能非常适合我的需求。
我知道直接从客户端连接到数据存储几乎总是不好的。这有什么安全影响(因为我不是 Redis 的专家(,有没有办法解决这些问题?从我读到的内容来看,可能存在执行配置集和更改rdb文件位置的漏洞,并且能够任意覆盖文件。还有什么事吗?(如果我根本不使用该特定的 redis 实例进行任何操作,即不存储任何数据(
我知道另一种方法是编写一些自定义套接字服务器程序,并让它充当连接到 redis 和发出命令的中介层——如果可能的话,这就是我想避免编写的工作。
**编辑**
刚刚了解了重命名命令配置以禁用命令。如果我禁用 redis 实例上的每一个命令,只让订阅和发布保持打开状态,这是否足以在生产环境中运行?
我认为将
客户端直接连接到 Redis 是个坏主意。Redis 仅为唯一用户提供身份验证系统。它希望此用户是你的服务器应用。
在我看来,直接暴露 Redis 总是一个坏主意。它将允许任何人访问您的所有数据。Redis 文档证实了这一点。
因此,你不会避免添加或开发应用的服务器端。