0

目前,我正在我的 webapp 中开发控制台,显示用户正在运行的 *nix 应用程序日志(游戏服务器),我只想确保一个用户无法通过猜测主题名称来访问其他用户控制台。

我正在使用随机生成的 16 个字符 0-9、AZ、az 的字符串,每次刷新页面时都会更改,每个主题名称的有效期为 30 分钟。

crossbar config 中的每个 webapp 用户都可以订阅任何主题。我想为每个用户设置只订阅他/她的控制台主题,但我认为交叉开关的动态配置尚未实现。

这种实现是否足以保护用户的隐私,或者订阅者可以列出其他订阅者,而我使用唯一主题名称的工作毫无意义?

4

1 回答 1

1

订阅者确实可以通过订阅元过程列出其他订阅者。

关于您的主题结构-您正在做类似的事情

  • com.myapp.userlog.user34KUIK567878
  • com.myapp.userlog.userAHH78738J899

并希望阻止用户订阅除他们自己以外的任何频道?

为此,您可以使用动态授权者 - 请参阅http://crossbar.io/docs/Authorization/

在每个订阅(&发布、调用、注册)请求上调用动态授权方,然后可以接受或拒绝该请求。它可以访问会话数据,以便您可以识别用户。

于 2015-03-21T11:57:16.987 回答