提问人:Nick Pineda 提问时间:11/5/2015 最后编辑:Nick Pineda 更新时间:11/5/2015 访问量:34
安全性:使用仅限客户端的代码创建唯一的用户连接?
Security: Creating Unique User Connections with Client-Side Only Code?
问:
假设在以下情况下,我需要在 2 个用户之间共享资源:
- 所有保存到数据库的都是客户端的
- 没有唯一的用户名
例如,将一个人添加到您的联系人列表中,并在你们俩之间共享一个私有线程(A private threadID)。
最终,有许多连接和许多 threadID。您如何以安全有效的方式管理它?
答:
0赞
Chris Travers
11/5/2015
#1
好吧,一旦你信任客户,你就信任客户。在安全方面,这在一些非常深刻的方面限制了你。服务器永远不会真正知道连接的客户端端发生了什么,因此它无法在这方面强制执行任何真正的安全性。
您可以做的最接近的事情是为用户发送加密数据,但我怀疑这会产生您不想产生的开销。
否则,你只需要假设人们不会试图绕过你的安全。如果他们这样做了,所有的赌注都结束了。但这意味着您也不必担心.....
您的另一个选择是强制执行这是某种处理授权令牌的中间件。
评论