我正在使用Laravel Echo作为套接字。
在我的html中,我有:
<input type="hidden" id="user_id" value="<?php echo $user_id; ?>">
,并且在我的后端中,当用户更新其个人资料时,我会触发一个事件。现在在Echo中,我的代码如下:
window.Echo.private('authenticate-user.' + user_id)
.listen('ProfileUpdated', (updates) => {
console.log(updates);
});
我的问题是,恶意用户是否可以更改他/他的user_id以便以其他身份加入authenticate-user私人频道并获得其他用户的更新?尽管在页面加载时它将获得该user_id并在频道中加入用户,因此她/他无法在页面完全加载之前执行此操作,但是我怀疑她/他是否可以在网络概念上进行恶意操作。顺便说一句,我有ID散列,但大概不是。
答案 0 :(得分:0)
使用此$id = Auth::id();
(https://laravel.com/docs/5.7/authentication#retrieving-the-authenticated-user)
这将在服务器端获取ID