4

我不确定我是否正确理解了身份验证在 Pusher 中的工作原理。这是我担心的一个场景:

  1. 用户想要订阅私人频道,因此 Pusher 库调用我的服务器以获得身份验证令牌。
  2. 服务器检查用户是否登录并返回令牌
  3. 现在用户得到这个令牌并从我的应用程序中注销。
  4. 用户可以使用来自不同机器的身份验证令牌订阅相同的私人频道,即使他们已经注销。

第4点有效吗?用户从我的应用程序中注销后是否可以使用身份验证令牌?

4

1 回答 1

4

不,选项 4 无效。使用客户端的套接字 ID、通道名称和秘密的组合创建身份验证令牌。请参阅: http: //pusher.com/docs/auth_signatures

套接字 ID 是当前客户端连接的全局唯一标识符。如果在另一台机器上使用相同的身份验证令牌,则套接字 ID 将不同,因此身份验证令牌与 Pusher 在检查作为客户端订阅请求的一部分发送的令牌时创建的身份验证令牌不匹配。

于 2013-06-19T22:43:24.370 回答