未经身份验证的 laravel 事件广播的安全风险是什么
what's the security risks of unauthenticated laravel event broadcasting
我需要知道在 Laravel 中使用未经授权的事件广播有哪些安全风险。
我将 angular-js 用于我的 front-end 和 Laravel 作为 back-end API,我打算使用 Laravel事件广播(socket.io + redis),我想知道是否存在任何安全风险,如果我在未通过身份验证的情况下向前端广播不重要的 public 数据?
提前致谢。
我认为该范例与传统 Web 应用程序或 API 没有任何不同。存在同样的问题,它与套接字无关。您的体系结构现在混合了 socket.io/nodeJS 的事实仅意味着身份验证涉及更多。当您从使用文件系统和单个服务器进行会话转移到服务器池并说 memcached 或会话数据库时,它改变了处理身份验证的方式,而不是需要它。所以在某些方面,感觉就像你在请求许可来解决这个问题:)
确实如此,但只有您可以说您的应用程序是否需要它。如果像您说的那样,不重要且 public... 您可能需要身份验证才能在传统 Web 应用程序的网站页面上查看它吗?你只是懒惰吗?
1) 虐待。我可以修改请求以迭代某些 ID 以获取任何有用的信息吗?
2) 错失良机。 Node后端会增长吗?在某些时候,您会后悔没有经过身份验证的用户吗?
3) 拒绝服务。我可以提出高成本请求并耗尽资源吗?
可能还有其他我想念的。只是我的两分钱。稍后我将尝试针对您的问题提供示例,
我需要知道在 Laravel 中使用未经授权的事件广播有哪些安全风险。
我将 angular-js 用于我的 front-end 和 Laravel 作为 back-end API,我打算使用 Laravel事件广播(socket.io + redis),我想知道是否存在任何安全风险,如果我在未通过身份验证的情况下向前端广播不重要的 public 数据?
提前致谢。
我认为该范例与传统 Web 应用程序或 API 没有任何不同。存在同样的问题,它与套接字无关。您的体系结构现在混合了 socket.io/nodeJS 的事实仅意味着身份验证涉及更多。当您从使用文件系统和单个服务器进行会话转移到服务器池并说 memcached 或会话数据库时,它改变了处理身份验证的方式,而不是需要它。所以在某些方面,感觉就像你在请求许可来解决这个问题:)
确实如此,但只有您可以说您的应用程序是否需要它。如果像您说的那样,不重要且 public... 您可能需要身份验证才能在传统 Web 应用程序的网站页面上查看它吗?你只是懒惰吗?
1) 虐待。我可以修改请求以迭代某些 ID 以获取任何有用的信息吗?
2) 错失良机。 Node后端会增长吗?在某些时候,您会后悔没有经过身份验证的用户吗?
3) 拒绝服务。我可以提出高成本请求并耗尽资源吗?
可能还有其他我想念的。只是我的两分钱。稍后我将尝试针对您的问题提供示例,