我有一个工作的 php 应用程序,我想在其中添加实时支持。我想使用 nodejs/socket.io 来添加这种功能。
我发现的第一个问题是如何在 nodejs 端正确授权用户(用户已经通过 PHP 会话在 php 后端进行了身份验证)。在 nodejs 端使用socket.handshake.header.cookie我可以解析并获取 PHP 会话 ID,我可以通过 redis/memcache/database 进行身份验证(取决于我用来保存会话信息的内容)。
当用户只打开网站的一个标签/窗口时,一切看起来都很酷 - 当拥有更多并使用session_regenerate_id(),在 nodejs 中,用户使用另一个 sessionid 密钥进行身份验证,因此除了它们连接的套接字 id 之外,我无法区分两个选项卡。当用户注销时,他不应该在任何选项卡上收到任何消息(因为他已经从该浏览器的每个选项卡/窗口上注销)。所以在注销消息(在注销 PHP 之前从浏览器发送)我应该删除所有连接到授权用户 ID 的套接字连接。但是如果用户在两个设备上登录(fe. pc 浏览器和 ipad safaris)会怎样。在一台设备上注销后,他不应该在他注销的设备上收到任何消息,而不是在每台设备上。如何区分来自 socket.io 中不同设备/浏览器的连接?当然不使用session_regenerate_id()在这里会很有效,但是如果我真的想使用此功能该怎么办?
我遇到的另一个问题是安全问题(甚至是问题)。假设应用程序中的授权用户可以看到页面example.com/user1(这是 user1 的新闻提要)并且看不到example.com/user2(他没有权限查看它)。当用户在example.com/user1时,我希望 socket.io 向浏览器发送更新消息,当然当用户在example.com/user2站点时不发送。在 socket.io 方面,我可以读取引用地址(因此推测,当用户在 user2 站点上时,他没有得到任何 socket.io 连接)。问题是:我应该将引用地址与 node.js 端经过身份验证的用户的权限进行比较吗?或者,在 node.js 端,referer 值可能是安全的?在 node.js 端添加另一个数据库检查会减慢速度(因为几乎每个请求都应该在两侧进行相同的数据库检查 - PHP 和 node.js)。
或者也许我提出的 socket.io + PHP 应用程序的整个概念是错误的?
更新
我想我找到了一种方法来省略第一个问题的问题 - 基本上我只是添加另一个 cookie(除了 PHPSESSID)fe。命名为 NODESESSID,我在授权用户时生成(fe. 使用 uniqid())。现在 node.js 端的授权正在比较 PHPSESSID 和 NODESESSID(两者必须匹配)。现在,当用户注销时,他将消息logout传递到 socket.io 并且 socket.io 断开所有带有 NODESESSID 的套接字。这就像连接重新生成会话 ID 和不重新生成会话 ID 的好处(但不容易受到会话固定的影响,不是吗?)。