какова угроза безопасности неаутентифицированной трансляции событий Laravel
Мне нужно знать, каковы риски безопасности при использовании несанкционированной трансляции событий в Laravel,
я использую angular-js для меня front-end а также Laravel как back-end API, я собираюсь использовать Laravel трансляция событий (socket.io + redis), я хочу знать, есть ли риск безопасности, если я передаю неважные общедоступные данные в интерфейс, пока они не аутентифицированы?
Заранее спасибо.
Решение
Я не думаю, что парадигма действительно отличается от традиционного веб-приложения или API. Те же проблемы существуют, и это не имеет ничего общего с сокетами. Тот факт, что в вашей архитектуре теперь есть socket.io/nodeJS, просто означает, что аутентификация немного сложнее. Когда вы перешли от выполнения сеансов с файловой системой и одним сервером к пулу серверов и, скажем, memcached или базе данных для сеансов, это изменило способ обработки аутентификации, а не необходимость в ней. Так что в некотором смысле кажется, что вы просите разрешения на это 🙂
Правда, только вы можете сказать, если это необходимо для вашего приложения. Если это, как вы говорите, неважно и общедоступно … вам, вероятно, потребуется аутентификация для просмотра на странице вашего сайта в традиционном веб-приложении? Вы просто ленивый?
1) Злоупотребление. Могу ли я изменить запрос, чтобы перебрать какой-то идентификатор, чтобы собрать какую-либо полезную информацию?
2) Упущенная возможность. Будет ли расти Node backend? В какой-то момент вы будете сожалеть о том, что там нет аутентифицированного пользователя?
3) Отказ в обслуживании. Могу ли я сделать запросы на высокую стоимость и исчерпать ресурсы?
Вероятно, другие, которых я скучаю. Просто мои два цента. Я постараюсь привести пример позже по вашему вопросу, Авторизация на паспорт laravel через socket.io для каналов вещания
Другие решения
Других решений пока нет …