如何确保私有频道的安全?
注意事项
看到广播系统内对私有频道的控制,仅仅只是web对laravel应用发起了一次http请求,然后以此来断言当前用户是否有权限监听此频道的事件。
操作
如果我是攻击者,我知道了某个人在XX金融网站上有账号,我想看这个人的资金流动,那么是否我只需要F12打开调试面板,自己new WebSocket,就可以看到所有的推送了?因为在websocket端应该是没有进行验证的,它们只管订阅和发布。
疑惑
很好奇 tlaverdure/laravel-echo-server这个项目和pusher有没有做权限验证。
注:pusher或者laravel-echo-server请求时携带的密钥实在是太好拿到了,所以我相信这肯定不是一个安全的手段,所以想请教各位大牛们是否有比较成熟的方案,或者是只能自己写一个socket服务端?
推荐文章: