PHP + socket.io(会话、授权和安全问题)
Posted
技术标签:
【中文标题】PHP + socket.io(会话、授权和安全问题)【英文标题】:PHP + socket.io (session, authorizing and security problems) 【发布时间】:2012-08-24 22:48:09 【问题描述】:我有一个工作的 php 应用程序,我想在其中添加实时支持。我想使用 nodejs/socket.io 来添加这种功能。 我发现的第一个问题是如何在 nodejs 端正确授权用户(用户已经通过 PHP 会话在 php 后端进行了身份验证)。在 nodejs 端使用 socket.handshake.header.cookie 我可以解析并获取 PHP 会话 ID,我可以通过 redis/memcache/database 进行身份验证(取决于我用来保存会话信息的内容)。 当用户只打开网站的一个选项卡/窗口时,一切看起来都很酷 - 当拥有更多并使用 session_regenerate_id() 时,在 nodejs 中,用户使用另一个 sessionid 密钥进行身份验证,所以我无法区分两个选项卡由它们连接的套接字 id 以外的任何东西组成。当用户注销时,他不应该在任何选项卡上收到任何消息(因为他已经从该浏览器的每个选项卡/窗口上注销)。所以在注销消息(在注销 PHP 之前从浏览器发送)我应该删除所有连接到授权用户 ID 的套接字连接。但是如果用户在两个设备上登录(fe. pc 浏览器和 ipad safaris)会怎样。在一台设备上注销后,他不应该在他注销的设备上收到任何消息,而不是在每台设备上。 如何在 socket.io 中区分来自不同设备/浏览器的连接? 当然不使用 session_regenerate_id() 在这里会很有效,但是如果我真的想要我该怎么办使用此功能? 我遇到的另一个问题是安全问题(甚至是问题)。假设应用程序中的授权用户可以看到页面 example.com/user1(这是 user1 的新闻提要)并且看不到 example.com/user2(fe. he无权查看)。当用户在 example.com/user1 上时,我希望 socket.io 向浏览器发送更新消息,当然当用户在 example.com/user2 上时不发送更新消息强>网站。在 socket.io 方面,我可以读取引用地址(因此推测,当用户在 user2 站点上时,他没有得到任何 socket.io 连接)。问题是:我应该将引用地址与node.js 端经过身份验证的用户的权限进行比较吗?或者,在 node.js 端,referer 值是 safe 的? 在 node.js 端添加另一个数据库检查会减慢速度(因为几乎每个请求都应该有相同的数据库检查两个方面 - PHP 和 node.js)。 或者,我提出的 socket.io + PHP 应用程序的整个概念可能是错误的?
更新 我想我找到了一种方法来省略第一个问题的问题——基本上我只是添加了另一个 cookie(除了 PHPSESSID)fe。命名为 NODESESSID,我在授权用户时生成(fe. 使用 uniqid())。现在 node.js 端的授权正在比较 PHPSESSID 和 NODESESSID (两者都必须匹配)。现在,当用户注销时,他会将消息 logout 传递给 socket.io,并且 socket.io 会断开所有带有 NODESESSID 的套接字。这就像连接重新生成会话 ID 和不重新生成会话 ID 的好处(但不容易受到会话固定的影响,不是吗?)。
【问题讨论】:
好吧,我的猜测是引用者是从 http 标头中获取的,所以我认为它不安全。 我在第二个问题上遇到了完全相同的问题,您是否偶然找到了解决方法? 为什么不通过会话变量控制对页面的访问权限?例如 user1 可以看到他的个人资料,但不能看到 user2 选择不公开的 user2 个人资料 ..$_SESSION["current_page"]="http://www.example.com/user1"; $_SESSION["canview"]=check_user_rights($_SESSION["userid"],$_SESSION["current_page"]
on nodejs if(user1.canview) // do stuff else // do other studff
GeoPhoenix,在会话中存储页面不是好方法,因为用户可以同时访问多个站点(例如许多浏览器选项卡)。问题是关于节点和前端之间的安全问题(如何防止用户“入侵”引用地址,在哪个节点上识别它必须发送的内容)。文森特,很遗憾,除了在后端节点端再次检查权限之外,我没有找到任何方法。
【参考方案1】:
第二个问题:
如 cmets 中所述,Referer 不安全。
我的应用程序中遇到了类似的问题,这就是我的工作原理。
首先,我有一个单页应用程序,所有流量都通过套接字,但这不是必需的。它也应该以您管理它的方式与会话一起使用。
在 nodejs onConnect 中,我询问后端用户是否已通过身份验证,然后将用户 ID 存储到套接字对象 (socket.data) 中,并填充哈希图以直接从用户 ID 查找套接字。
其次,我使用 Redis 并从 nodejs (see redis pub/sub) 订阅了一个 redis 列表。 php 后端使用用户 ID 推送此列表中的消息以寻址消息。 nodejs 接收此消息(例如,一个新的新闻提要项),在提到的 hashmap 中查找用户 ID 并将其发送给客户端。所以,用户只能得到他被授权的东西。然后客户端决定如何处理该消息。如果用户在他的提要页面上,它可以添加该项目。如果用户在其他人的提要上,它可以简单地在页面的其他位置添加通知。它也可能会丢弃它。
在 php 后端站点上,每次发生需要在某些连接的客户端上实时显示的事件时,此消息都会发送到 redis。如果 user1 在 user2 的 feed 上发帖,则新项目存储在数据库中,同时作为消息发送到 redis 队列。
这个系统还有助于减少数据库负载,因为 nodejs 只需要查询数据库以确保连接的用户已经过身份验证。
【讨论】:
我不确定我是否完全正确:假设我们有 200 个新闻提要(甚至是 2000 个)特定用户可以连接到。因此,每当提要获得更新时,我们首先需要检查用户是否可以阅读该提要(这是一个数据库查询,但我们可以在后台进行),然后当我们向他发送消息时,对吗?问题是,当用户查看一个提要时,此时 2000 个提要会得到更新 - 节点 js 将生成 2000 条消息,但最终用户不会丢弃其中的一条。我认为这是发送的消息过多......或者我误解了? 也许我不明白你的申请。用户是否会在他访问的每个页面上获得实时提要更新并拥有权限?或仅在他自己的提要页面上(例如在 facebook 上)。 基本上它应该类似于 twitter,用户只想获取他当前打开的页面的 socket.io 消息(因此,每当他同时在 page1 和 page2 上的不同浏览器选项卡上时,套接字与 page1 连接应获得 page1 更新,与 page2 连接的套接字应获得 page2 更新)。该策略将减少发送的消息数量 - 但问题是需要冗余并检查数据库权限(一次是 php 后端给 page1 html,另一个是检查 socketio 是否应该向套接字发送消息)。 好的,明白了。但是如果用户在一个他不允许看到的页面上,为什么这个页面首先会打开一个套接字连接?后端不会显示任何提要页面,对吗? 不,除了 403 错误页面或其他内容之外,它不会显示任何内容 - 但您写道:“如 cmets 中所述,Referer 不安全。”。因此,用户可以在他有权访问的提要上,并将套接字引用更改为他无权访问的提要,并且会收到他不应该收到的消息...【参考方案2】:其实你可以避免使用node.js,而使用phpdaemon,它是用php编写的,效果很好。
【讨论】:
以上是关于PHP + socket.io(会话、授权和安全问题)的主要内容,如果未能解决你的问题,请参考以下文章
如何将用户名从php会话存储到nodejs中的socket.io库和页面刷新时套接字连接断开。为啥?
如何针对跨域的 PHP 会话 ID 对 Socket.IO 进行身份验证