PHP + socket.io（会话、授权和安全问题）

Posted 2023-03-07

【中文标题】PHP + socket.io（会话、授权和安全问题）

【英文标题】：PHP + socket.io (session, authorizing and security problems)

【发布时间】：2012-08-24 22:48:09

【问题描述】：

我有一个工作的 php 应用程序，我想在其中添加实时支持。我想使用 nodejs/socket.io 来添加这种功能。 我发现的第一个问题是如何在 nodejs 端正确授权用户（用户已经通过 PHP 会话在 php 后端进行了身份验证）。在 nodejs 端使用 socket.handshake.header.cookie 我可以解析并获取 PHP 会话 ID，我可以通过 redis/memcache/database 进行身份验证（取决于我用来保存会话信息的内容）。 当用户只打开网站的一个选项卡/窗口时，一切看起来都很酷 - 当拥有更多并使用 session_regenerate_id() 时，在 nodejs 中，用户使用另一个 sessionid 密钥进行身份验证，所以我无法区分两个选项卡由它们连接的套接字 id 以外的任何东西组成。当用户注销时，他不应该在任何选项卡上收到任何消息（因为他已经从该浏览器的每个选项卡/窗口上注销）。所以在注销消息（在注销 PHP 之前从浏览器发送）我应该删除所有连接到授权用户 ID 的套接字连接。但是如果用户在两个设备上登录（fe. pc 浏览器和 ipad safaris）会怎样。在一台设备上注销后，他不应该在他注销的设备上收到任何消息，而不是在每台设备上。 如何在 socket.io 中区分来自不同设备/浏览器的连接？ 当然不使用 session_regenerate_id() 在这里会很有效，但是如果我真的想要我该怎么办使用此功能？ 我遇到的另一个问题是安全问题（甚至是问题）。假设应用程序中的授权用户可以看到页面 example.com/user1（这是 user1 的新闻提要）并且看不到 example.com/user2（fe. he无权查看）。当用户在 example.com/user1 上时，我希望 socket.io 向浏览器发送更新消息，当然当用户在 example.com/user2 上时不发送更新消息强>网站。在 socket.io 方面，我可以读取引用地址（因此推测，当用户在 user2 站点上时，他没有得到任何 socket.io 连接）。问题是：我应该将引用地址与node.js 端经过身份验证的用户的权限进行比较吗？或者，在 node.js 端，referer 值是 safe 的？ 在 node.js 端添加另一个数据库检查会减慢速度（因为几乎每个请求都应该有相同的数据库检查两个方面 - PHP 和 node.js）。 或者，我提出的 socket.io + PHP 应用程序的整个概念可能是错误的？

更新 我想我找到了一种方法来省略第一个问题的问题——基本上我只是添加了另一个 cookie（除了 PHPSESSID）fe。命名为 NODESESSID，我在授权用户时生成（fe. 使用 uniqid()）。现在 node.js 端的授权正在比较 PHPSESSID 和 NODESESSID （两者都必须匹配）。现在，当用户注销时，他会将消息 logout 传递给 socket.io，并且 socket.io 会断开所有带有 NODESESSID 的套接字。这就像连接重新生成会话 ID 和不重新生成会话 ID 的好处（但不容易受到会话固定的影响，不是吗？）。

【问题讨论】：

好吧，我的猜测是引用者是从 http 标头中获取的，所以我认为它不安全。

我在第二个问题上遇到了完全相同的问题，您是否偶然找到了解决方法？

为什么不通过会话变量控制对页面的访问权限？例如 user1 可以看到他的个人资料，但不能看到 user2 选择不公开的 user2 个人资料 .. $_SESSION["current_page"]="http://www.example.com/user1"; $_SESSION["canview"]=check_user_rights($_SESSION["userid"],$_SESSION["current_page"] on nodejs if(user1.canview) // do stuff else // do other studff

GeoPhoenix，在会话中存储页面不是好方法，因为用户可以同时访问多个站点（例如许多浏览器选项卡）。问题是关于节点和前端之间的安全问题（如何防止用户“入侵”引用地址，在哪个节点上识别它必须发​​送的内容）。文森特，很遗憾，除了在后端节点端再次检查权限之外，我没有找到任何方法。

【参考方案1】：

第二个问题：

如 cmets 中所述，Referer 不安全。

我的应用程序中遇到了类似的问题，这就是我的工作原理。

首先，我有一个单页应用程序，所有流量都通过套接字，但这不是必需的。它也应该以您管理它的方式与会话一起使用。

在 nodejs onConnect 中，我询问后端用户是否已通过身份验证，然后将用户 ID 存储到套接字对象 (socket.data) 中，并填充哈希图以直接从用户 ID 查找套接字。

其次，我使用 Redis 并从 nodejs (see redis pub/sub) 订阅了一个 redis 列表。 php 后端使用用户 ID 推送此列表中的消息以寻址消息。 nodejs 接收此消息（例如，一个新的新闻提要项），在提到的 hashmap 中查找用户 ID 并将其发送给客户端。所以，用户只能得到他被授权的东西。然后客户端决定如何处理该消息。如果用户在他的提要页面上，它可以添加该项目。如果用户在其他人的提要上，它可以简单地在页面的其他位置添加通知。它也可能会丢弃它。

在 php 后端站点上，每次发生需要在某些连接的客户端上实时显示的事件时，此消息都会发送到 redis。如果 user1 在 user2 的 feed 上发帖，则新项目存储在数据库中，同时作为消息发送到 redis 队列。

这个系统还有助于减少数据库负载，因为 nodejs 只需要查询数据库以确保连接的用户已经过身份验证。

【讨论】：

我不确定我是否完全正确：假设我们有 200 个新闻提要（甚至是 2000 个）特定用户可以连接到。因此，每当提要获得更新时，我们首先需要检查用户是否可以阅读该提要（这是一个数据库查询，但我们可以在后台进行），然后当我们向他发送消息时，对吗？问题是，当用户查看一个提要时，此时 2000 个提要会得到更新 - 节点 js 将生成 2000 条消息，但最终用户不会丢弃其中的一条。我认为这是发送的消息过多......或者我误解了？

也许我不明白你的申请。用户是否会在他访问的每个页面上获得实时提​​要更新并拥有权限？或仅在他自己的提要页面上（例如在 facebook 上）。

基本上它应该类似于 twitter，用户只想获取他当前打开的页面的 socket.io 消息（因此，每当他同时在 page1 和 page2 上的不同浏览器选项卡上时，套接字与 page1 连接应获得 page1 更新，与 page2 连接的套接字应获得 page2 更新）。该策略将减少发送的消息数量 - 但问题是需要冗余并检查数据库权限（一次是 php 后端给 page1 html，另一个是检查 socketio 是否应该向套接字发送消息）。

好的，明白了。但是如果用户在一个他不允许看到的页面上，为什么这个页面首先会打开一个套接字连接？后端不会显示任何提要页面，对吗？

不，除了 403 错误页面或其他内容之外，它不会显示任何内容 - 但您写道：“如 cmets 中所述，Referer 不安全。”。因此，用户可以在他有权访问的提要上，并将套接字引用更改为他无权访问的提要，并且会收到他不应该收到的消息...

【参考方案2】：

其实你可以避免使用node.js，而使用phpdaemon，它是用php编写的，效果很好。