标签: signalr signalr.client
究竟如何在SignalR中确定连接ID?用户是否可以有目的地使用其他人的连接ID来伪装成他们?
显然,确定另一个人的连接ID存在困难,因为有太多可能的ID。但是,我的应用程序会让用户知道其他用户的连接ID,因为应用程序需要对等方进行交互,并且我已将连接ID用作唯一的用户ID。
用户可以选择连接ID吗?用户可以以某种方式切换到另一个已知ID或是否有其他保护措施?
我指的是通过{{1}}在服务器端获得的连接ID。
答案 0 :(得分:2)
没有。连接ID由服务器分配。然而,除了连接ID之外,服务器还发送连接令牌,该连接令牌使用包括连接ID的一些信息来计算。如果服务器收到连接ID和连接令牌不匹配的请求,则拒绝该请求。如果您想了解SignalR协议的工作原理,请阅读我前一段时间写的post。如果您想了解有关连接ID和连接令牌的更多详细信息,请阅读this。