所以我有一个应用程序运行node js,socket.io作为后端,普通javascript作为前端。我的应用程序有一个登录系统,目前只是让客户端在连接后立即发送登录数据。
现在我想,将登录数据与握手数据一起发送会更好,这样我就可以直接让用户在连接时登录(而不是在建立连接后),当登录数据无效时分别拒绝授权。
我想最好把我的额外数据放在握手数据的头部,有什么想法吗?(如果可能的话,无需修改socket.io,但如果这是我唯一可以使用它的方式)
正如下面许多评论所指出的,Socket.IO API在其1.0版本中发生了更改。现在应该通过中间件功能进行身份验证,请参阅"身份验证差异"@http://socket.io/docs/migrating-from-0-9/#authentication-差异。我将为任何被困在<1.0,因为旧的文档似乎已经不见了。
1.0及更高版本:
客户端:
//The query member of the options object is passed to the server on connection and parsed as a CGI style Querystring.
var socket = io("http://127.0.0.1:3000/", { query: "foo=bar" });
服务器端:
io.use(function(socket, next){
console.log("Query: ", socket.handshake.query);
// return the result of next() to accept the connection.
if (socket.handshake.query.foo == "bar") {
return next();
}
// call next() with an Error if you need to reject the connection.
next(new Error('Authentication error'));
});
1.0之前
您可以在第二个参数中向客户端的connect()传递查询:param,该查询将在服务器上的授权方法中可用。
我刚刚在测试它。在客户端上我有:
var c = io.connect('http://127.0.0.1:3000/', { query: "foo=bar" });
在服务器上:
io.set('authorization', function (handshakeData, cb) {
console.log('Auth: ', handshakeData.query);
cb(null, true);
});
服务器上的输出看起来像:
:!node node_app/main.js
info - socket.io started
Auth: { foo: 'bar', t: '1355859917678' }
更新
3.x及更高版本
您可以使用auth-param作为客户端connect()的第二个参数来传递身份验证负载。
客户端:
io.connect("http://127.0.0.1:3000/", {
auth: {
token: "AuthToken",
},
}),
在服务器端,您可以使用socket.handshake.auth.token访问它
服务器端:
io.use(function(socket, next){
console.log(socket.handshake.auth.token)
next()
});
这在v1.0.0中已经更改。请参阅迁移文档
基本上,
io.set('authorization', function (handshakeData, callback) {
// make sure the handshake data looks good
callback(null, true); // error first, 'authorized' boolean second
});
变为:
io.use(function(socket, next) {
var handshakeData = socket.request;
// make sure the handshake data looks good as before
// if error do this:
// next(new Error('not authorized');
// else just call next
next();
});
对于socket.io v1.2.1,请使用以下内容:
io.use(function (socket, next) {
var handshake = socket.handshake;
console.log(handshake.query);
next();
});
这是我向nodejs和server.io服务器客户端发送查询数据的代码。
var socket = io.connect(window.location.origin, { query: 'loggeduser=user1' });
io.sockets.on('connection', function (socket) {
var endp = socket.manager.handshaken[socket.id].address;
console.log("query... " + socket.manager.handshaken[socket.id].query.user);
}
也许api已经更改,但我做了以下操作以向服务器获取额外信息。
// client
io.connect('localhost:8080', { query: 'foo=bar', extra: 'extra'});
// server
io.use(function(sock, next) {
var handshakeData = sock.request;
console.log('_query:', handshakeData._query);
console.log('extra:', handshakeData.extra);
next();
});
打印
_query: { foo: 'bar',
EIO: '3',
transport: 'polling',
t: '1424932455409-0' }
extra: undefined
如果有人知道如何通过查询参数中没有的握手将数据从客户端获取到服务器,请告诉我。
更新我后来遇到了这个语法的问题
io.connect('localhost:8080?foo=bar');
是我当前使用的。
旧线程,但假设您将jwt令牌/会话id存储在会话cookie(标准内容)中,我注意到,在进行握手(socket.io客户端)时,它会默认传递给服务器。通过cookie(通过中间件或on.connection)获取握手的身份验证信息有什么问题吗?例如
io.on('connection', function(socket) {
// assuming base64url token
const cookieStr = socket.handshake.headers.cookie
const matchRes =
cookieStr == null
? false
: cookieStr.match(/my-auth-token=([a-zA-Z0-9_.-]+)/)
if (matchRes) {
// verify your jwt...
if ( tokenIsGood(matchRes[1]) {
// handle authenticated new socket
} else {
socket.emit('AUTH_ERR_LOGOUT')
socket.disconnect()
}
} else {
socket.emit('AUTH_ERR_LOGOUT')
socket.disconnect()
}
}
我现在正在把它用于一个项目,它运行得很好。
我在查看.log用户时发现了一个小问题
io.sockets.on('connection', function (socket) {
var endp = socket.manager.handshaken[socket.id].address;
console.log("query... " + socket.manager.handshaken[socket.id].query.loggeduser);
// ↑ here
}