Websockets 控制用户访问

Posted 2023-02-16

【中文标题】Websockets 控制用户访问

【英文标题】：Websockets control user access

【发布时间】：2016-05-08 19:08:58

【问题描述】：

我目前在我的 php 项目 [Ratchet, Symfony] 中使用 Websockets。当用户登录时，他会自动连接到 websocket 连接中的通道。我能够将消息推送到频道并在客户端上接收并显示它们。因此，在登录后连接到 websocket 时管理对 websocket 的访问是没有问题的。假设我们有以下情况，我在身份验证时遇到了问题：

用户已登录并有权访问频道 用户在另一个选项卡上注销或清除其缓存 在用户重新加载他的页面之前，他仍然会收到 websocket 通道的消息。

我检查了用户在使用 websockets 而不是 ajax 时仍然登录到 websocket 端 symfony 会话。当我使用 ajax demo -request 检查相同的内容时，用户不再登录。这是主要问题，websocket session 与 symfony session 没有同步好，因为在 symfony session 中，用户已注销，但在 Websocket 上，他仍然处于登录状态。

最初，我尝试了以下方法来避免上述情况：

当用户通过 websocket 通道收到新消息时，我首先使用远程调用程序检查用户是否仍然登录，通过从服务器发送标志 true 或 false （这就是不同步会话的问题发生的地方) 当标志为假时，我从频道中取消订阅用户 当标志为真时，我处理 websocket 通道的回调。

总的来说，我认为这种方法会很好 (?) ，但我看到的问题是不同步的会话。当推送到达它时，如何同步它或强制 websocket 通道检查 cookie/再次发送它？你如何处理这种情况？

【参考方案1】：

我个人是如何解决这个问题的。 我保存了我在数据库中打开时拥有的每个 connectionId。

然后我检查了哪些连接应该接收哪个通道，并且只向应该接收它的那些发送消息。

之后，一旦您的问题出现：用户注销，然后我从具有打开连接的数据库中删除该用户，并且这些频道的每条新消息都不会再发送给该用户。

编辑： 为了解决这里提出的问题：用户刷新了他/她的缓存/cookies，但连接仍然打开，如何确保连接仍然安全？

回答：如果用户刷新他/她的缓存，socketconnection 将保持存在，尽管用户会在浏览器刷新/重定向后关闭它。这里的安全问题是不存在的，因为用户在会话开始时以正确的方式连接，然后清除了他们的缓存，因此他们被注销了。

如果用户不怀好意，那么一开始就不应该建立连接。

【讨论】：

那么用户将失去他的会话，尽管您仍然在服务器上拥有会话。因此，您可以将会话重新发送给用户，或者在用户再次登录后创建一个新会话，并将其保存在以前的 connectionId 上。您当前以何种方式将会话存储在 cookie 中？

我使用 PdoSessionHandler 进行存储。在我看来，您的解决方案无法处理用户打开浏览器、清除其缓存/cookies 的情况。因为在他重新加载页面之前，他仍然会通过 websocket 获取消息？用户只是在客户端站点上失去了会话，但在 websocket 端，他仍然是经过身份验证的。

我想通过读取cookie的会话ID在远程过程调用中发送会话ID，然后检查该值是否与websocket服务器中存储的会话ID匹配。如果不是，他就不再被认证（至少在他声称的身份上）。但这是不可能的，因为我无法从浏览器中读取安全 cookie..

因此您无法从 cookie 中读取 sessionId/connectionId 并将其与打开的 websocket 会话进行比较，如果它们相同则仅使用接收到的数据？

是的，这就是我的观点，因为没有人能够再使用它或者能够以某种方式劫持他/她的连接。当然，除了浏览器本身，但该用户已经拥有访问权限，因此该用户没有必要“破解”他已经允许的连接