MS BotFramework WebChat URL中的临时令牌问题

Question

我使用Microsoft BotFramework和node.js开发了一个聊天机器人，并将其部署在网络聊天中。根据{{​​3}}文档，写出机器人的秘密＆＃39;可以用临时令牌取代＆＃39; t＆＃39;这仅对一次会话有效。

但问题是这个令牌的生命周期是30分钟，并且在这个时间窗口内，如果一些入侵者访问整个网址：＆＃34; this＆＃34;然后，他只是一个孩子的游戏来获取所有用户的数据，因为它模仿了其他机器中实际用户的聊天。

BotFramework（除DirectLine ）中是否有任何可以限制使用相同令牌的URL在另一台机器上打开的内容？

Answer 1

GH上有issue与您面对同一事件，通过评论，我们发现此情况目前不会改变。

但是，我们可以从评论中得到一些提示：

  

最终，您无法隐藏客户端的秘密/令牌。

     

  
• 如果要将其从URL中删除，可以自行托管JS控件。
  
• 如果您想从网页来源中删除它，可以在Cookie中传递值＆gt;并在网页中的JS中阅读。
  

     

但是，在所有情况下，该值都将在内存中可用。

我认为您可以自己构建另一个简单的网站，作为iframe和yout bot应用程序的桥梁。您可以限制您的用户是否在此网站的会话中是唯一的。此外，您还可以在实例化Bot WebChat之前验证您的用户。