2

メッセージなどを渡すためにnode.jsとsocket.ioを使用してチャット/メッセージングシステムを実装することを検討しています.

ただし、システムは PHP セッションを使用した php 認証システムを使用します。明らかに、接続された node.js ユーザー X が PHP で認証されたユーザー X であることを知る方法が必要ですか?

少し調査した結果、Memcache を使用して PHP セッションをノードと共有することはかなり一般的であるようです (JSON などに保存することにより)。ただし、接続されているノードのユーザーがどのphpセッションを保存しているかを特定するという問題がまだありますか?

私が最初に考えたのは、PHP が設定する Cookie を使用し、PHPSESSID 値などを利用することでした。(明らかに、彼らはその PHPSESSID を知っているか、推測に長けている必要がありますが、それでもセキュリティ ホールのように見えますか?

これについてどう思いますか?私が望むものを達成するための最良の方法はありますか?

4

1 に答える 1

5

PHP セッション ID を使用することは、目的に応じて十分に安全であるはずです。実際、これはほとんどすべての PHP サイトが認証を処理する方法です。ユーザーがログオンすると、なんらかの「トークン」をブラウザに保存して、ユーザーが誰であるかをサイトに知らせ、ログオンしていると判断できるようにする必要があります。独自のセッションを作成することも、簡単であれば既に作成されたセッションを使用することもできます。これは、セッション ID の値が十分に長く複雑であるため、特定のユーザーの認証に有効である間は推測できないという考え方です。

ユーザーをさらに保護したい場合は、常に SSL 接続を使用していることを確認してください。そうすれば、セッション ID が盗み見られなくなります。

于 2013-05-29T17:18:32.593 に答える