我需要知道在Laravel中使用未经授权的事件广播有哪些安全风险。
我正在使用angular-js作为front-end和Laravel作为back-end API,我打算使用Laravel事件广播(socket.io + redis),我想知道是否有任何安全风险,如果我在未经过身份验证的情况下向前端广播不重要的公共数据?
提前致谢。
答案 0 :(得分:1)
我认为范式与传统的Web应用程序或API完全不同。存在同样的问题,它与套接字无关。您的架构现在混合使用socket.io/nodeJS这一事实意味着身份验证更加复杂。当您从使用文件系统和单个服务器的会话转移到服务器池并说memcached或会话数据库时,它改变了处理身份验证的方式,而不是需要它。因此,在某些方面,您觉得您要求获得许可以解决此问题:)
实际上,只有你可以说你的申请是否需要它。如果您说,不重要和公开......您是否可能需要身份验证才能在传统网络应用中在您网站的网页上查看?你只是懒惰吗?
1)虐待。我可以修改迭代某个ID以获取任何有用信息的请求吗?
2)错过了机会。 Node后端会增长吗?在某些时候,你会后悔在那里没有经过身份验证的用户吗?
3)拒绝服务。我可以提出高成本要求并耗尽资源吗?
可能是我失踪的其他人。只是我的两分钱。我稍后会尝试在您的问题Authorization for laravel passport through socket.io for broadcasting channels
上提供一个示例