我在使用信号器的聊天应用上工作。我通过其connectionid关联每个用户。
我只是想知道我是否广播了所有用户连接,以便任何人都可以在代码中看到它们,是否有人能够引起任何问题?
答案 0 :(得分:4)
据我所知,共享连接ID并不存在安全风险,但共享连接令牌却是一个。
从我自己的SignalR测试中,它不检查消息的来源,而只检查连接令牌,如果会话已通过身份验证,则连接令牌是连接ID的加密形式加上用户名(如果我没记错的话)也是在验证后需要重新连接的原因。)
我只是通过替换连接令牌,成功地能够通过版本2.0.2的另一台IP上的另一台计算机欺骗SignalR连接。