Laravel 私人频道有多安全？

Question

我不明白 Laravel 中的私人频道是如何工作的。

当我收听私人频道时：

window.Echo.private('activity')
    .listen('ActivityCreated', (e) => {
        console.log("Activity Created", e);
    }
);

Laravel 在 /broadcasting/auth/ 上发出请求以验证我的后端是否允许我的前端侦听此套接字。交换的信息是一些加密信息。

我不明白的是任何人都可以订阅任何频道：

./pusher channels apps --app-id=12345678 --channel=private-activity subscribe
Successfully subscribed to channel 'private-activity'.
Event: channel=private-activity event=App\Events\ActivityCreated message=[]

我错过了什么？

Answer 1

Laravel Echo 只不过是 Pusher 库的包装器 UTSL. Behind the scenes, you have the Pusher app well documented here

从您的服务器 routes/channels.php 签署请求后，Pusher 将只允许连接到私有频道。一旦您的后端允许客户端访问通道，它只需将授权通过 JWT 返回给客户端，然后客户端将其作为访问密钥通过 WSS 转发给 Pusher。

即使您的传输遭到破坏，您也不应容易受到 MITM 攻击，因为。