Советы по безопасности Flash Socket?

Question

Последние несколько дней я играл с розетками, и у меня есть несколько вопросов о безопасности. Я запускаю Flash websocket на стороне клиента и сервер сокетов PHP на сервере.

У меня есть приложение, в котором пользователи создают приватные чаты. Мой вопрос: есть ли какие-то проблемы безопасности, за которыми я должен следить? Я выполняю аутентификацию на странице чата, чтобы убедиться, что у пользователя есть права на доступ к нему и т. Д.

Но есть ли что-то, что мне нужно сделать на websocketserver.php, чтобы запретить людям отправлять сообщения в комнату, если у них нет разрешений находиться там?

Answer 1

Я делаю аутентификацию на странице чата

Что за "аутентификация"?Один раз войти, чтобы обслуживать страницу?Это будет в основном ноль защита.

Вы должны выпустить какой-то токен и отправить его в начале соединения с сокетом, а затем проверить сторону сервера соединений (через токен) дляубедитесь, что это исходит от аутентифицированного пользователя.В противном случае было бы достаточно просто подключиться к серверу и начать отправлять сообщения.

Базовая модель может выглядеть следующим образом

1. Пользователь входит в системучат
2. Проверка данных пользователя и т. д.
3. Выдача токена для этого пользователя, сохранение этого токена в БД и отправка его на страницу
4. Запуск подключения к сокету и отправкатокен
5. Проверьте токен на сервере веб-сокетов и получите соответствующего пользователя
6. Теперь проверьте все действия с разрешениями этого пользователя

Что касается времени жизни токена, он должен быть удален, как только соединение разорвется.