2

socketIO を介して MySQL DB で認証しようとしています。接続が確立され、問題なく結果を照会できますが、何らかの理由で、ユーザーが認証されているかどうかconnectionを socketio の部分に渡すことができません。アイデアは、私のアプリにはホストとビューアーがあるということです。アプリでパスワードを送信せずにアプリに接続すると、アプリQueryStringはビューアーと見なして接続を受け入れます。パスワードが送信されると、DB に対してチェックされ、接続を受け入れ/拒否します。変数をに渡してconnection、アプリのイベント内で使用できるようにします。これが私がこれまでに持っているものですが、明らかにdata.query['ishost']アプリに渡されていません。

sio.configure(function() {
    sio.set('authorization', function (data, accept) {
        UserID = data.query['username'];

        try {
            UserID = UserID.toLowerCase();
        } catch(err) {
            return accept("No WebBot Specified. ("+err+")", false);
        }

        // if not sending a password, skip authorization and connect as a viewer
        if (data.query['password'] === 'undefined')
        {
            return accept(null, true);
        }
        // if sending a password, attempt authorization and connect as a host
        else
        {
            client.query(
            'SELECT * FROM web_users WHERE username = "'+UserID+'" LIMIT 1',
              function selectCb(err, results, fields) {
                if (err) {
                  throw err;
                }
                // Found match, hash password and check against DB
                if (results.length != 0)
                {
                    // Passwords match, authenticate.
                    if (hex_md5(data.query['password']) == results[0]['password'])
                    {
                        data.query['ishost'] = true;
                        accept(null, true);
                    }
                    // Passwords don't match, do not authenticate
                    else
                    {
                        data.query['ishost'] = false;
                        return accept("Invalid Password", false);
                    }
                }
                // No match found, add to DB then authenticate
                else
                {
                    client.query(
                        'INSERT INTO web_users (username, password) VALUES ("'+UserID+'", "'+hex_md5(data.query['password'])+'")', null);

                    data.query['ishost'] = "1";
                    accept(null, true);
                }

                client.end();
              }
            );

            // Should never reach this
            return accept("Hacking Attempt", false);
        }

        // Definitely should never reach this
        return accept("Hacking Attempt", false);
    });
});

に書き込むと、data.queryhandshakeData を介してアクセスできるようになります。しかし、何らかの理由でアプリを通過していません。どんな助けでも大歓迎です、ありがとう。

4

1 に答える 1

6

あなたは近いですが、クエリ文字列パラメーターを設定するよりもリクエストヘッダーを設定することをお勧めします. 認証関数のdata変数は、使用できるリクエスト ヘッダーと Cookie 情報を含むハンドシェイク データです。以下は、Cookie を設定する例です。

サーバー上

io.configure(function() {
    io.set('authorization', function(handshake, callback) {
        var cookie, token, authPair, parts;

        // check for headers
        if (handshake.headers.cookie && 
            handshake.headers.cookie.split('=')[0]=='myapp') {

            // found request cookie, parse it
            cookie   = handshake.headers.cookie;
            token    = cookie.split(/\s+/).pop() || '';
            authPair = new Buffer(token, 'base64').toString();
            parts    = authPair.split(/:/);

            if (parts.length>=1) {
                // assume username & pass provided, check against db
                // parts[0] is username, parts[1] is password
                // .... {db checks}, then if valid....
                callback(null, true);
            } else if(parts.length==1) {
                // assume only username was provided @ parts[0]
                callback(null,true);
            } else {
                // not what we were expecting
                callback(null, false);
            }
        }
        else {
            // auth failed
            callback(null, false);
        }
    });
});

クライアント上

を呼び出すsocket.connectに、認証/ユーザー情報を使用して Cookie を設定します。

function writeCookie(value, days) {
    var date, expires;

    // days indicates how long the user's session should last
    if (days) {
        date = new Date();
        date.setTime(date.getTime()+(days*24*60*60*1000));
        expires = "; expires="+date.toGMTString();
    } else {
        expires = "";
    }
    document.cookie = "myapp="+Base64.encode(value)+expires+"; path=/";
};

// for a 'viewer' user:
writeCookie('usernameHere', 1);

// for the 'host' user:
writeCookie('usernameHere:passwordHere', 1);

ブラウザが をサポートしていない限り、クライアント側に Base64 ライブラリが必要ですbtoa()

これは適切な認証構造ではないことに注意してください。クエリ文字列またはヘッダー情報のいずれかでユーザー資格情報を直接渡すことは安全ではありません。ただし、この方法により、より安全な方法に近づくことができます。Passport.js や everyauth などの認証ライブラリを調べることをお勧めします。このコードをサブインして、チェックの実行時にライブラリが保存するセッション情報を利用できます。

于 2012-05-16T15:56:13.123 に答える