我有多个客户端从应用程序连接到 Node.js TCP 套接字服务器。我想知道一种安全的方式来管理他们的 session 。
用户名+密码通过套接字传递到服务器。服务器确认这是正确的。
我认为我现在需要生成一个唯一的 token 以发送回客户端。
现在如果用户关闭应用程序,然后再次打开它,这个 token 可以传递给服务器,因此服务器将再次确认用户已通过身份验证。
但是,其他人可能会使用此 token 来访问此人的帐户。有办法避免这种情况吗?
是否有更安全的方法(同时仍然保持用户无需再次登录即可进行身份验证的能力)?
您将如何使用相同的登录名处理来自其他设备的连接。他们得到的是不同的 token 还是相同的 token ?
非常感谢。
最佳答案
这归结为您对足够安全的定义。您现在正在做的事情,本质上是 session 跟踪,对于许多通用用途而言,它通常足够安全 - 但是通常会添加一个额外的组件,其中 session 只应被视为对特定 ip 有效。如果用户的 IP 发生变化,您应该让他们重新登录并颁发新的 token 。这样一来,如果一些坏人劫持了他们的 session ID,那对他们没有任何好处。
当然,这仅在您的坏人不能看起来与您的客户来自同一 IP 地址时才有效。如果您担心与您的客户端位于同一 NAT 后面的坏人,因此可能看起来来自同一 IP,那么您将不得不进一步提高安全性,并可能考虑类似于 SSH 的系统使用,但这有点复杂。
至于来自多个设备的连接,这取决于您 - 您可以跟踪某个 token ,并在用户从不同的 IP 登录时交回该 token (同时现在允许两个 IP 登录)使用相同的 token 访问该站点),或者您可以在每次有人进行身份验证时发出一个新 token 。就我个人而言,我倾向于发现发行新代币更容易,更少的跟踪和麻烦……但这取决于您的应用程序以及您想要如何组织事物,我可以为这两种方法设想好的用例。
此外,至于进行密码交换......你至少应该在那里做一些散列,即服务器向客户端发送一些random_string,然后客户端使用一些hash函数(例如 md5 或 sha)计算 hash(random_string + hash(username + password)) 并将其发回。然后,服务器通过检查 hash(random_string + password_hash) 是否等于用户发送的任何内容来验证此匹配。这使得用户的纯文本密码永远不必存储在任何地方 - 在服务器上,您只需在密码更改时存储 password_hash = hash(username+password)。
关于Node.js TCP 套接字 session ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14106296/
网络编程套接字网络编程基础知识理解源`IP`地址和目的`IP`地址理解源MAC地址和目的MAC地址认识端口号理解端口号和进程ID理解源端口号和目的端口号认识`TCP`协议认识`UDP`协议网络字节序socket编程接口`sockaddr``UDP`网络程序服务器端代码逻辑:需要用到的接口服务器端代码`udp`客户端代码逻辑`udp`客户端代码`TCP`网络程序服务器代码逻辑多个版本服务器单进程版本多进程版本多线程版本线程池版本服务器端代码客户端代码逻辑客户端代码TCP协议通讯流程TCP协议的客户端/服务器程序流程三次握手(建立连接)数据传输四次挥手(断开连接)TCP和UDP对比网络编程基础知识
使用rails4,ruby2。我在rails配置中为我的cookiesession设置了30分钟的超时时间。问题是,如果我转到表单,让session超时,然后提交表单,我会收到此ActionController::InvalidAuthenticityToken错误。如何在Rails中优雅地处理这个错误?比如说,重定向到登录屏幕? 最佳答案 在您的ApplicationController:rescue_fromActionController::InvalidAuthenticityTokendoredirect_tosome_p
我去了这个website查看Rails5.0.0和Rails5.1.1之间的区别为什么5.1.1不再包含:config/initializers/session_store.rb?谢谢 最佳答案 这是删除它的提交:Setupdefaultsessionstoreinternally,nolongerthroughanapplicationinitializer总而言之,新应用没有该初始化器,session存储默认设置为cookie存储。即与在该初始值设定项的生成版本中指定的值相同。 关于
s=Socket.new(Socket::AF_INET,Socket::SOCK_STREAM,0)s.connect(Socket.pack_sockaddr_in('port','hostname'))ssl=OpenSSL::SSL::SSLSocket.new(s,sslcert)ssl.connect从这里开始,如果ssl连接和底层套接字仍然是ESTABLISHED,或者它是否在默认值7200之后进入CLOSE_WAIT,我想检查一个线程几秒钟甚至更糟的是在实际上不需要.write()或.read()的情况下关闭。是用select()、IO.select()还是其他方法完成
一段时间以来,我一直在使用open_uri下拉ftp路径作为数据源,但突然发现我几乎连续不断地收到“530抱歉,允许的最大客户端数(95)已经连接。”我不确定我的代码是否有问题,或者是否是其他人在访问服务器,不幸的是,我无法真正确定谁有问题。本质上,我正在读取FTPURI:defself.read_uri(uri)beginuri=open(uri).readuri=="Error"?nil:urirescueOpenURI::HTTPErrornilendend我猜我需要在这里添加一些额外的错误处理代码...我想确保我采取一切预防措施来关闭所有连接,这样我的连接就不是问题所在,但是我
我有一个super简单的脚本,它几乎包含了FayeWebSocketGitHub页面上用于处理关闭连接的内容:ws=Faye::WebSocket::Client.new(url,nil,:headers=>headers)ws.on:opendo|event|p[:open]#sendpingcommand#sendtestcommand#ws.send({command:'test'}.to_json)endws.on:messagedo|event|#hereistheentrypointfordatacomingfromtheserver.pJSON.parse(event.d
我正在尝试使用Sinatra中的重定向和session在网站周围传递一些数据。这是一个简化的示例,使用PrettyPrint进行调试:require'pp'require'rubygems'require'sinatra'enable:sessionsget'/'dosession[:foo]='12345'puts'session1'ppsessionredirectto('/redir')endget'/redir'doputs'session2'ppsession'helloworld'end查看Thin的输出,我看到:>>Listeningon0.0.0.0:4567,CTRL
我有一个包含多个组件的存储库,其中大部分是用JavaScript(Node.js)编写的,一个是用Ruby(RubyonRails)编写的。我想要一个.travis.yml文件来触发一个运行每个组件的所有测试的构建。根据thisTravisCIGoogleGroupthread,目前还没有官方支持。我的目录结构是这样的:.├──构建服务器├──核心├──扩展├──网络应用├──流浪文件├──package.json├──.travis.yml└──生成文件我希望能够运行特定版本的Ruby(2.2.2)和Node.js(0.12.2)。我已经有了一个make目标,所以maketest在每
我选择的语言是Ruby,但因为Twitter,我知道Ruby不能处理很多请求。将它用于套接字开发是个好主意吗?或者我应该像Twitter开发人员那样使用像erlang或haskell或scala这样的函数式语言吗? 最佳答案 我工作的公司使用Ruby作为我们的网站。到目前为止,我们已经处理了超过34,000,000,000次点击。我们每天处理大约10,000,000次点击没有问题。每天的点击量峰值已超过40,000,000次。可扩展性取决于很多因素。例如,与读取相比,我们的数据库执行的写入比例高得不成比例。虽然大多数网站执行大约90
我有一个连接到服务器的rubytcpsocket客户端。在发送数据之前如何检查套接字是否已连接?我是否尝试“拯救”断开连接的tcpsocket,重新连接然后重新发送?如果是这样,有没有人有一个简单的代码示例,因为我不知道从哪里开始:(我很自豪我设法在rails中获得了一个持久连接的客户端tcpsocket。然后服务器决定杀死客户端,一切都崩溃了;)编辑我已经使用此代码解决了一些问题-如果未连接,它将尝试重新连接,但如果服务器已关闭则不会处理这种情况(它将继续重试)。这是正确方法的开始吗?谢谢defself.write(data)begin@@my_connection.write(
