我正在使用信号器的聊天应用程序上工作。我通过他们的connectionid关联每个用户。

我只是想知道是否广播所有用户的connectionid,以便任何人都可以在代码中看到它们,有人会引起任何问题吗?

最佳答案

据我所知,共享连接ID并不是安全风险,但是共享连接令牌是其中之一。

根据我对SignalR的测试,它不检查消息的来源,而是仅检查连接令牌,如果会话经过身份验证,则连接令牌是连接ID加上用户名(如果我没记错的话)的加密形式(这也是为什么)您需要在验证后重新连接)。

仅通过替换连接令牌,我就能够成功欺骗另一个IP上具有版本2.0.2的另一台计算机上的SignalR连接。

08-18 11:38