我在Express 3中采用了与此类似的技术 http://notjustburritos.tumblr.com/post/22682186189/socket-io-and-express-3
我的想法是让我从socket.io连接回调中获取会话对象,在这种情况下通过connect-redis存储会话。
所以,在app.configure我们有
var db = require('connect-redis')(express)
....
app.configure(function(){
....
app.use(express.cookieParser(SITE_SECRET));
app.use(express.session({ store: new db }));
在应用代码中有
var redis_client = require('redis').createClient()
io.set('authorization', function(data, accept) {
if (!data.headers.cookie) {
return accept('Sesssion cookie required.', false)
}
data.cookie = require('cookie').parse(data.headers.cookie);
/* verify the signature of the session cookie. */
//data.cookie = require('cookie').parse(data.cookie, SITE_SECRET);
data.sessionID = data.cookie['connect.sid']
redis_client.get(data.sessionID, function(err, session) {
if (err) {
return accept('Error in session store.', false)
} else if (!session) {
return accept('Session not found.', false)
}
// success! we're authenticated with a known session.
data.session = session
return accept(null, true)
})
})
会话正在保存到redis,按键看起来像这样:
redis 127.0.0.1:6379> KEYS *
1) "sess:lpeNPnHmQ2f442rE87Y6X28C"
2) "sess:qsWvzubzparNHNoPyNN/CdVw"
并且值是未加密的JSON。到目前为止一切都很好。
然而,Cookie标头包含类似
的内容{ 'connect.sid': 's:lpeNPnHmQ2f442rE87Y6X28C.obCv2x2NT05ieqkmzHnE0VZKDNnqGkcxeQAEVoeoeiU' }
所以现在SessionStore和connect.sid不匹配,因为签名部分(在.之后)从SessionStore版本中被剥离。
问题是,是否可以安全地截断cookie的SID部分(lpeNPnHmQ2f442rE87Y6X28C)并根据它进行匹配,或者是否应该验证签名部分?如果是这样,怎么样?
答案 0 :(得分:2)
socket.on包装在一个拉入会话的方法中,并解析和验证
https://github.com/functioncallback/session.socket.io
答案 1 :(得分:2)
按照Connect的utils.js中的注释行的建议,使用cookie-signature模块。
var cookie = require('cookie-signature');
//假设您已将会话ID从客户端放入名为“sid”的var
中var sid = cookies['connect.sid'];
sid = cookie.unsign(sid.slice(2),yourSecret);
if (sid == "false") {
//cookie validation failure
//uh oh. Handle this error
} else {
sid = "sess:" + sid;
//proceed to retrieve from store
}