我正在使用信号器的聊天应用程序上工作。我通过他们的connectionid关联每个用户。
我只是想知道是否广播所有用户的connectionid,以便任何人都可以在代码中看到它们,有人会引起任何问题吗?
最佳答案
据我所知,共享连接ID并不是安全风险,但是共享连接令牌是其中之一。
根据我对SignalR的测试,它不检查消息的来源,而是仅检查连接令牌,如果会话经过身份验证,则连接令牌是连接ID加上用户名(如果我没记错的话)的加密形式(这也是为什么)您需要在验证后重新连接)。
仅通过替换连接令牌,我就能够成功欺骗另一个IP上具有版本2.0.2的另一台计算机上的SignalR连接。