14
在SignalR Hub類中,您可以爲用戶調用Context.ConnectionId
。我正在尋找將這些存儲在Dictionary<string, string>
爲了連接用戶在一起。將其他用戶的clientids返回給用戶的客戶端是否存在風險或安全漏洞?是否有將其他用戶的Connection ID返回給客戶端的風險?
在SignalR Hub類中,您可以爲用戶調用Context.ConnectionId
。我正在尋找將這些存儲在Dictionary<string, string>
爲了連接用戶在一起。將其他用戶的clientids返回給用戶的客戶端是否存在風險或安全漏洞?是否有將其他用戶的Connection ID返回給客戶端的風險?
是的,我們在一些樣品中這樣做,但效果不好。如果您泄漏了連接ID,則人們可以在您的連接上發送/接收您的消息。創建另一個唯一的ID並在內部存儲您的ID和連接ID之間的映射,以便您可以將它們映射回來。
它和表單認證票基本上是一樣的想法。當然,它是加密的,但如果有人得到它,他們可以冒充你,無論如何。
在MessengR中查看此邏輯的示例。 https://github.com/davidfowl/MessengR/blob/master/MessengR/Hubs/Chat.cs#L67
因此,建議是... – 2012-07-26 06:13:54
它就在那裏,讓我重申它「創建另一個唯一的ID,並在內部存儲從連接ID到您的ID的映射,以便您可以將它們映射回來。 – davidfowl 2012-07-26 06:17:04
啊啊! ta :) – 2012-07-26 10:34:23