我已经搜索了3天,如何在nodejs socket.io服务器中正确验证用户信息,唯一传递给服务器的是cookie,如PHPSSID等。
我的问题是:如果用户将他的PHPSSID cookie值更改为其他值,比如朋友的cookie值,然后重新初始化套接字服务器连接,那么所有应该发送给我朋友的流量都会发送给我。(用户对用户私人通信)
即使我使用memcached服务器来存储会话,也只有一件事可以验证用户,那就是会话id,我应该如何验证用户会话?
我无法更改会话存储位置,因为我使用的是PHP Wave框架。有没有socket.io的替代品,但更安全?
它不是无序百分比解决方案,但您可以使用session_regenerate_id()
。它将在不关闭的情况下重新生成会话id。请参阅以下线程:PHP会话固定/劫持