Socket.IO 身份验证逻辑似乎有效,但无论如何都允许未经身份验证的套接字
Socket.IO authentication logic seems to work, but unauthenticated socket is allowed anyway
我正在尝试为 WebSockets 设置 NodeJS + Socket.IO。套接字部分工作正常,但显然,我们需要安全性,所以我找到了一些指南,这些指南展示了如何设置一个 Socket.IO 中间件,它应该首先验证所有套接字。这是我目前的代码:
var socketio = require('socket.io');
var cookie = require("cookie");
var cookieParser = require("cookie-parser");
var server = http.createServer(app).listen(port);
var io = socketio.listen(server);
// This is the middleware which supposed to check the session cookie
io.use(function (socket, next) {
var handshakeData = socket.request;
if (handshakeData.headers.cookie.indexOf('connect.sid') > -1) {
handshakeData.cookie = cookie.parse(handshakeData.headers.cookie);
handshakeData.sessionID = cookieParser.signedCookie(handshakeData.cookie['connect.sid'], 'foobar');
if (!handshakeData.sessionID) {
next(new Error('Cookie is invalid.'));
}
} else {
next(new Error('No cookie found.'));
}
next();
});
var namespaced = io.of('/socket/test');
namespaced.on('connection', function (socket) {
console.log('a user connected to /socket/test');
socket.on('fetch', function (args) {
// The unauthenticated browser still executes this next line!
namespaced.emit('you got some data!');
});
});
事实是,中间件逻辑似乎还不错。我已经使用经过身份验证的浏览器和未经身份验证的浏览器进行了尝试。未经身份验证的浏览器正确 returns next(new Error('some error')),这就是文档所说的您应该如何处理身份验证的方式 - http://socket.io/docs/server-api/#namespace#use(fn:function):namespace
但是尽管认证中间件returns出错了,socket仍然被允许并且客户端接收到数据。
仅供参考,我是 运行 Socket.IO Node 0.10.24 之上的 1.3.6(最新)。
您总是在中间件的末尾调用 next。在出错时使用 next 时需要执行 return next(new Error(...));,否则最后的 next 将始终被执行。
我正在尝试为 WebSockets 设置 NodeJS + Socket.IO。套接字部分工作正常,但显然,我们需要安全性,所以我找到了一些指南,这些指南展示了如何设置一个 Socket.IO 中间件,它应该首先验证所有套接字。这是我目前的代码:
var socketio = require('socket.io');
var cookie = require("cookie");
var cookieParser = require("cookie-parser");
var server = http.createServer(app).listen(port);
var io = socketio.listen(server);
// This is the middleware which supposed to check the session cookie
io.use(function (socket, next) {
var handshakeData = socket.request;
if (handshakeData.headers.cookie.indexOf('connect.sid') > -1) {
handshakeData.cookie = cookie.parse(handshakeData.headers.cookie);
handshakeData.sessionID = cookieParser.signedCookie(handshakeData.cookie['connect.sid'], 'foobar');
if (!handshakeData.sessionID) {
next(new Error('Cookie is invalid.'));
}
} else {
next(new Error('No cookie found.'));
}
next();
});
var namespaced = io.of('/socket/test');
namespaced.on('connection', function (socket) {
console.log('a user connected to /socket/test');
socket.on('fetch', function (args) {
// The unauthenticated browser still executes this next line!
namespaced.emit('you got some data!');
});
});
事实是,中间件逻辑似乎还不错。我已经使用经过身份验证的浏览器和未经身份验证的浏览器进行了尝试。未经身份验证的浏览器正确 returns next(new Error('some error')),这就是文档所说的您应该如何处理身份验证的方式 - http://socket.io/docs/server-api/#namespace#use(fn:function):namespace
但是尽管认证中间件returns出错了,socket仍然被允许并且客户端接收到数据。
仅供参考,我是 运行 Socket.IO Node 0.10.24 之上的 1.3.6(最新)。
您总是在中间件的末尾调用 next。在出错时使用 next 时需要执行 return next(new Error(...));,否则最后的 next 将始终被执行。