个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
我正在构建一个具有聊天功能的网络应用程序。我在后端使用 Laravel 5.4,在前端使用 Angular 4。
一切正常(意味着我可以广播和接收),但我完全不确定如何保护它。聊天将始终是 1 对 1,因此它是私密的并且必须是安全的。每个聊天室都有一个唯一的 ID,但仍然有人可以收听。
目前,当我从前端向我的 API 发出请求时,我正在使用 JWT 进行身份验证,但我不确定是否可以为此实现类似的东西。我知道我可以使用 query 选项从前端传递 token ,但我不确定如何解析它,我也不确定如何验证它确实属于正在尝试的用户访问聊天(我应该向 API 发出请求以在 server.js 中进行验证吗?这似乎效率不高。将 token 的用户 ID 与用户 ID 进行比较是否足够好将在数据中传递?)
如果有人有任何建议或知道更好的方法,将不胜感激
发布新消息时从 Laravel 触发的事件
class NewMessage implements ShouldBroadcast
{
use Dispatchable, InteractsWithSockets, SerializesModels;
public $data;
/**
* Create a new event instance.
*
* @return void
*/
public function __construct()
{
$this->data = array(
'message'=> 'hi'
);
}
/**
* Get the channels the event should broadcast on.
*
* @return Channel|array
*/
public function broadcastOn()
{
return new PrivateChannel('chat');
}
}
server.js (node.js)
var app = require('express')();
var http = require('http').Server(app);
var io = require('socket.io')(http);
var Redis = require('ioredis');
var redis = new Redis();
redis.psubscribe('private-chat', function(err, count) {
console.log('psubscribe');
});
redis.on('pmessage', function(subscribed, channel, message) {
console.log('pmessage', subscribed, channel, message);
message = JSON.parse(message);
io.emit(channel + ':' + message.event, message.data);
});
http.listen(3000, function(){
console.log('Listening on Port 3000');
});
前端组件
socket: io.Socket;
this.socket = io.connect("http://webapp.test:3000", { query: this.token });
this.socket.on("private-chat:App\\Events\\NewMessage", (data) =>
{
console.log("Data", data);
});
最佳答案
尽量使用SSL(保密)
我们所知道的 SSL 确保您与之通信的服务器实际上是您想要的网络服务。
身份验证(避免certificate pinning)
在你使用 JWT 和 HS256 的情况下,你需要 authentication,我强烈建议你使用 RS256 algorythm JWT 在这种情况下使用私钥和公钥。
如果您不确定对方是谁(身份验证),那么没有人能听到你们两人之间的对话也没关系。
因为我构建应用程序的方式是,如果未设置两个 channel 之间的 session authentication,则永远不会展开正在发送的数据的内容。
唯一 session
只要您的服务使用 JWT 进行身份验证,您就会向他们发回一个身份验证 token 。这就像随机数或 GUID 一样简单。此标识符将作为在此 session 期间在此 channel 上发送或接收数据的任何请求的一部分,它只会在此特定 channel 上被接受,并且仅当此唯一 session 打开时才被接受。
再进行一次安全检查:链接 reply attack
我为您提供了我每天使用的与中央银行安全地来回发送数据的技巧(因此,按照这些技巧,我认为您的应用程序应该非常安全)
更新
如何处理JWT
创建一个新的中间件Verify JWT token,因为 laravel 中的中间件是其核心供应商的外层,这意味着如果身份验证失败,它将在外层而不是核心中失败。
将路由分组到 Verify JWT token 中间件下!
创建一个 RedisRepository 这可以在 App\RedisRepository 下。这个类应该负责从redis中获取数据。
在中间件上解密用户 JWT 获取解密的有效负载(这可能是用户 UUID 或 ID)。
从 RedisRepository 中获取 user ID 如果肯定的身份验证通过,则与解密的有效负载进行比较,否则中止 403 unauthenticated!
关于node.js - 如何保护 Redis 和 Socket.IO 实时服务器,以便只有经过身份验证的用户才能收听?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47895514/
25
4
0
谁能解释一下 Server.MapPath(".")、Server.MapPath("~")、Server.MapPath(@"之间的区别\") 和 Server.MapPath("/")? 最佳答案
我不知道,为什么我们要使用 Server.UrlEncode() & Server.UrlDecode()?!在 QueryString 中我们看到 URL 中的任何内容,那么为什么我们要对它们进行编
我已经通过 WHM 在我的一个域上安装了 ssl 证书。网站正在使用 https://xyz.com . 但是它不适用于 https://www.xyz.com .我已经检查了证书,它也适用于 www
我已经使用 WMI 检测操作系统上是否存在防病毒软件,itz 正常工作并通过使用命名空间向我显示防病毒信息,例如 win xp 和 window7 上的名称和实例 ID:\root\SecurityC
我们有 hive 0.10 版本,我们想知道是否应该使用 Hive Server 1 或 Hive Server2。另一个问题是连接到在端口 10000 上运行的 Hive 服务器,使用 3rd 方工
我想在 C++ 中使用 Windows Server API 设置一个 HTTPS 服务器,我使用了示例代码,它在 HTTP 上工作正常,但我就是不能让它在 HTTPS 上工作。 (我不想要客户端 S
我写了一个非常基本的类来发送电子邮件。我用 smtp 服务器对其进行了测试,它工作正常,但是当我尝试使用我公司的交换服务器时,它给出了这个异常: SMTP 服务器需要安全连接或客户端未通过身份验证。服
我的应用程序包含一个“网关”DataSnap REST 服务器,它是所有客户端的第一个访问点。根据客户端在请求中传递的用户名(基本身份验证),请求需要重定向到另一个 DataSnap 服务器。我的问题
我有一个 Tomcat 服务器和一个 Glassfish4 服务器。我的 Servlet 在 Tomcat 服务器上启动得很好,但在 Glassfish4 服务器上给我一个“HTTP Status 4
我在 vmware 上创建了一个 ubuntu 服务器。我用它作为文件服务器。如果我通过托管虚拟机的计算机进行连接,则可以访问它。我无法从同一网络上的其他计算机执行此操作。提前致谢! 最佳答案 首先确
如何重启 Rails 服务器?我从 开始 rails server -d 所以服务器是分离的 我知道的唯一方法就是去做ps 辅助 | grep rails 并 kill -9关于过程#但是像这样杀死进
我实际上正在尝试找到编写一个简单的 XMPP 服务器的最佳方法,或者找到一个占用空间非常小的服务器。我只关心XMPP的核心功能(状态、消息传递、群组消息传递)。目前还在学习 XMPP 协议(proto
我实际上正在尝试找到编写简单 XMPP 服务器的最佳方法,或者找到一个占用空间非常小的方法。我只关心 XMPP 的核心功能(统计、消息、组消息)。目前也在学习 XMPP 协议(protocol),所以
我们正在尝试从 Java JAX-RS 适配器访问 SOAP 1.1 Web 服务。 我们正在使用从 WSDL 生成的 SOAP 客户端。 但是当解码 SOAP 故障时,我们得到以下异常: ... C
目前,我和许多其他人正在多个平台(Windows、OS X 和可能的 Linux)上使用 Python HTTP 服务器。我们正在使用 Python HTTP 服务器来测试 JavaScript 游戏
我有一个连续运行的服务器程序(C#/.NET 2.0 on Linux with mono),我想从 PHP 脚本连接到它以在网站上显示状态信息。 目的是创建一个(某种)实时浏览器游戏(无 Flash
所以我有一个单页客户端应用程序。 正常流程: 应用程序 -> OAuth2 服务器 -> 应用程序 我们有自己的 OAuth2 服务器,因此人们可以登录应用程序并获取与用户实体关联的 access_t
我们刚刚将测试 Web 服务器从 Server 2008 升级到 Server 2012 R2。我们有一个部署我们网站的批处理脚本。当它将站点推送到服务器时,它现在失败了。奇怪的是,我可以使用相同的发
建议一些加载SpagoBI服务器的方法,我尝试了所有方法来解析spagobi服务器。在 Catalina 中,错误是 - * SEVERE: Unable to process Jar entry [
当我们点击应用程序服务器(apache tomcat)时,它会创建一个线程来处理我们的请求并与 tomcat 连接,建立连接,tomcat 创建另一个线程来处理请求并将其传递给连接,连接线程将其传递给
我是一名优秀的程序员,十分优秀!