我一直在玩socket.io的聊天,我有一个问题:我如何区分聊天室中的管理员用户和普通用户?我希望管理员拥有像踢人和禁止人这样的权力,但我的用户没有。
我正在使用 Symfony 开发我的应用程序,我想将其用户数据库用于聊天用户。我正在使用 FOSUserBundle对于我的 Symfony 应用程序的用户。它们被分成多个组,所以我有 admin 组和其他组。
admin 组具有 ROLE_ADMIN,这意味着其中的每个用户都具有该角色。即管理员组,该组中的每个用户都应有权禁止、踢出、静音等聊天室中的其他用户。
为了在聊天中使用我的 Symfony 用户,我一直在阅读 Redis 以获取他们的 session ,但我不确定如何区分我的管理员用户和普通用户。如何防止普通用户向服务器发出用户无权访问的请求?因为任何人都可以发出请求,但是如果这些请求来自存储在 Apache 服务器上的 MySQL 数据库中的用户,我如何验证这些请求?
如果不是 Symfony,如何在普通的 PHP 应用程序中做到这一点?最后,admin如何定义并不重要,重要的是如何将他连接到Node服务器以及如何使Node服务器与我的用户数据库一起工作。
我的想法是简单地加密用户数据并将其发送到 Node 服务器,然后在那里解密。只有两台服务器知道私钥,因此即使客户端获得加密数据,他也无法向另一个客户端发出请求。我可能会做一些 IP 检查和时间戳。然后可以使用 Node 服务器上的解密数据来判断用户是否是管理员,并允许他发送某些请求。这是个好主意还是有更好的方法?
最佳答案
I had an idea of simply encrypting and sending the user's data to the node server, then decrypt it there. Only the two servers know the private keys, so even if a client gets its hands on the encrypted data, he can't make a request with it for another client.
这是基本的想法。
我会怎么做? 我会使用 JWT 之类的东西将 userId 发送到 Node 应用程序。不必加密,因为我只关心 jwt 签名以确保请求确实是由真实用户发出的。
之后,我会使用 userId 对 php 应用程序进行 服务器端 调用以检查用户的角色。
详细说明:
- node 应用和 php 应用将使用共享 key 来签署 JWT token 。
- PHP 应用程序会将生成的 token 暴露给前端。
- socket.io 客户端会将 token 作为身份验证的一部分发送到 Node 应用程序。
如何处理禁令
- 使用用户 ID 保存打开的套接字列表
- 在 nodejs 应用程序中创建一个 web 服务端点,它可以处理来自 php 应用程序的“禁止”请求。
- 当nodejs应用收到这样的请求时,根据userid查找socket并关闭连接。
关于php - 如何区分 socket.io 聊天中的 Symfony 用户角色/组,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33202813/