SocketIO + MySQL身份驗證

Question

我想通過socketIO通過MySQL數據庫進行身份驗證。我建立了連接並可以查詢結果而沒有問題，但由於某種原因，我無法通過用戶是否被認證到socketio的connection部分。這個想法是我的應用程序有主持人和觀衆。如果連接到應用程序時未在QueryString中發送密碼，則該應用程序假定其爲查看器並接受連接。如果發送密碼，則會對數據庫進行檢查並接受/拒絕連接。我想要一個變量傳入connection，這樣我就可以在我的應用程序事件中使用它。以下是我目前爲止的內容，但顯然data.query['ishost']沒有傳入應用。

sio.configure(function() { 
    sio.set('authorization', function (data, accept) { 
     UserID = data.query['username']; 

     try { 
      UserID = UserID.toLowerCase(); 
     } catch(err) { 
      return accept("No WebBot Specified. ("+err+")", false); 
     } 

     // if not sending a password, skip authorization and connect as a viewer 
     if (data.query['password'] === 'undefined') 
     { 
      return accept(null, true); 
     } 
     // if sending a password, attempt authorization and connect as a host 
     else 
     { 
      client.query(
      'SELECT * FROM web_users WHERE username = "'+UserID+'" LIMIT 1', 
       function selectCb(err, results, fields) { 
       if (err) { 
        throw err; 
       } 
       // Found match, hash password and check against DB 
       if (results.length != 0) 
       { 
        // Passwords match, authenticate. 
        if (hex_md5(data.query['password']) == results[0]['password']) 
        { 
         data.query['ishost'] = true; 
         accept(null, true); 
        } 
        // Passwords don't match, do not authenticate 
        else 
        { 
         data.query['ishost'] = false; 
         return accept("Invalid Password", false); 
        } 
       } 
       // No match found, add to DB then authenticate 
       else 
       { 
        client.query(
         'INSERT INTO web_users (username, password) VALUES ("'+UserID+'", "'+hex_md5(data.query['password'])+'")', null); 

        data.query['ishost'] = "1"; 
        accept(null, true); 
       } 

       client.end(); 
       } 
      ); 

      // Should never reach this 
      return accept("Hacking Attempt", false); 
     } 

     // Definitely should never reach this 
     return accept("Hacking Attempt", false); 
    }); 
}); 

寫入data.query使其可通過handshakeData訪問。但由於某種原因，它沒有通過應用程序傳遞。任何幫助表示讚賞，謝謝。

Answer 1

你很近，但我建議設置一個請求頭來設置查詢字符串參數。授權功能中的data變量是握手數據，其中包含您可以使用的請求標頭和Cookie信息。下面是與設置cookie的例子：

在服務器

io.configure(function() { 
    io.set('authorization', function(handshake, callback) { 
     var cookie, token, authPair, parts; 

     // check for headers 
     if (handshake.headers.cookie && 
      handshake.headers.cookie.split('=')[0]=='myapp') { 

      // found request cookie, parse it 
      cookie = handshake.headers.cookie; 
      token = cookie.split(/\s+/).pop() || ''; 
      authPair = new Buffer(token, 'base64').toString(); 
      parts = authPair.split(/:/); 

      if (parts.length>=1) { 
       // assume username & pass provided, check against db 
       // parts[0] is username, parts[1] is password 
       // .... {db checks}, then if valid.... 
       callback(null, true); 
      } else if(parts.length==1) { 
       // assume only username was provided @ parts[0] 
       callback(null,true); 
      } else { 
       // not what we were expecting 
       callback(null, false); 
      } 
     } 
     else { 
      // auth failed 
      callback(null, false); 
     } 
    }); 
}); 

在客戶

你叫socket.connect之前，請設置您的身份驗證/用戶信息一個cookie：

function writeCookie(value, days) { 
    var date, expires; 

    // days indicates how long the user's session should last 
    if (days) { 
     date = new Date(); 
     date.setTime(date.getTime()+(days*24*60*60*1000)); 
     expires = "; expires="+date.toGMTString(); 
    } else { 
     expires = ""; 
    } 
    document.cookie = "myapp="+Base64.encode(value)+expires+"; path=/"; 
}; 

// for a 'viewer' user: 
writeCookie('usernameHere', 1); 

// for the 'host' user: 
writeCookie('usernameHere:passwordHere', 1); 

除非您的瀏覽器支持btoa()，否則您需要客戶端的Base64庫。

重要的是要指出，這不是一個好的身份驗證結構。直接在查詢字符串或標題信息中傳遞用戶憑證是不安全的。不過，這種方法讓你更接近更安全的方法。我建議尋找像passport.js或everyauth這樣的auth庫。您可以在此代碼中使用這些庫在運行檢查時存儲的會話信息。