フラッシュソケットセキュリティのヒント？

Question

私は過去数日間ソケットで遊んでいて、セキュリティに関していくつか質問があります。私はクライアント側でFlash websocketを実行しており、サーバー上のPHPソケットサーバーを実行しています。

私は、ユーザーがプライベートチャットルームを作成するアプリを持っています。私の質問は、私が監視しなければならないセキュリティ上の問題はありますか？私はチャットルームのページで認証を行って、そのユーザがそこにいる権限を持っていることを確認しています。

しかし、websocketserver.phpには、そこにはアクセス権がありませんか？

Answer 1

私は "認証" はどのようなチャットルームページ

上で認証を行っています

？ 1回ログインしてページを提供しますか？それは基本的にゼロのセキュリティになります。

トークンを発行してソケット接続の開始時に送信し、接続サーバー側（トークン経由）を検証して、認証されたユーザーからのものであることを確認する必要があります。それ以外の場合は、単にサーバーに接続してメッセージを送信するのは簡単です。

基本モデルは、チャットにこの

1. ユーザーがログイン
2. 検証のユーザデータなど
3. のようになります。DBでこのトークンを保存し、このユーザーのトークンを発行し、ページに送信
4. ソケット接続を開始し、トークンを送信
5. websocketサーバーのトークンを確認し、一致するユーザーを取得
6. 今トークンの有効期間については

このユーザーの権限に対するすべてのアクションを検証し、それはすぐに接続が終了すると削除されるべきです。