我在Github socketio-jwt上提出了这个问题。 3天后没有回答,也无法在谷歌上找到任何答案。
在连接上检查令牌是否足够安全?我是否需要在每个活动上检查令牌? 例如。检查每个getNews事件
socket.on("getNews", function(data, callback){
// check token and if valid return news via callback
});
VS
检查连接/重新连接
io.use(function(socket, next) { // using general example not socketio-jwt
// check token and if valid proceed
});
如何知道特定令牌属于哪个用户?一种方法是将id添加到有效载荷,但是,这是最佳实践吗?
答案 0 :(得分:1)
我会在每个事件上检查令牌,以确保。
是的,只要您的秘密保密,就可以在您的有效负载中添加用户ID。