我正在考虑使用node.js和socket实现聊天/消息传递系统。IO传递消息等
然而,系统将使用使用php会话的php身份验证系统。显然,我需要某种方式知道连接的node。js用户X是php认证用户X?
经过一些研究,似乎使用Memcache与节点共享php会话(通过存储在JSON等)是相当普遍的。然而,仍然存在识别哪个连接的节点用户是哪个存储的php会话的问题?
我的第一个想法是使用PHP设置的cookie,利用PHPSESSID值等-然而,用户肯定可以将该cookie修改为其他人的PHPSESSID,并且很有趣?(显然,他们要么知道PHPSESSID,要么非常善于猜测,但这似乎仍然是一个安全漏洞?
你对此有何看法?这是实现我想要的最好的方法吗?
对于您的目的来说,使用PHP会话ID应该是足够安全的,事实上,几乎所有PHP站点都会这样处理身份验证。一旦用户登录,必须在浏览器中保存某种类型的"令牌",以让站点知道他们是谁,以便确定他们是否登录。您可以创建自己的会话,也可以使用已经创建的会话,如果这对您来说更容易的话。这个想法是,会话ID值足够长,足够复杂,以至于在特定用户的身份验证期间无法猜测它是否有效。
如果您想进一步保护您的用户,请确保您一直使用SSL连接,这样会话ID就不会被窥探。