用户 socket id 是关键信息吗? (安全角度)
Is users socket id a critical information? (security point of view)
我正在使用 socket.io 构建聊天应用程序。就安全性而言,客户是否可以收到其对话者的套接字 ID?客户可以用这些信息做些什么吗?我的假设是不,因为只有服务器可以向其他客户端发送消息,但我是 Websocket 机制的新手,所以我不完全了解所有可能性。
socket.id 只是套接字对象的字符串标识符,服务器可以在内部使用它,也可以作为该用户的 "handle" 与其他客户端共享。客户端不能对服务器不特别支持命令的套接字执行任何操作(connect/disconnect 除外)。
因此,id 是否是秘密是否重要完全取决于您支持的服务器操作以及它们采用的参数。默认情况下,客户端无法使用该 ID 执行任何操作。因此,除非您的服务器支持采用 id 的命令并且您的设计期望该 id 是秘密的,否则应该没有问题。
我正在使用 socket.io 构建聊天应用程序。就安全性而言,客户是否可以收到其对话者的套接字 ID?客户可以用这些信息做些什么吗?我的假设是不,因为只有服务器可以向其他客户端发送消息,但我是 Websocket 机制的新手,所以我不完全了解所有可能性。
socket.id 只是套接字对象的字符串标识符,服务器可以在内部使用它,也可以作为该用户的 "handle" 与其他客户端共享。客户端不能对服务器不特别支持命令的套接字执行任何操作(connect/disconnect 除外)。
因此,id 是否是秘密是否重要完全取决于您支持的服务器操作以及它们采用的参数。默认情况下,客户端无法使用该 ID 执行任何操作。因此,除非您的服务器支持采用 id 的命令并且您的设计期望该 id 是秘密的,否则应该没有问题。