socket.io และ session?

Question 1

ฉันใช้เฟรมเวิร์กด่วน ฉันต้องการเข้าถึงข้อมูลเซสชันจาก socket.io ฉันลองใช้ dynamicHelpers ด่วนกับข้อมูล client.listener.server.dynamicViewHelpers แต่ไม่สามารถรับข้อมูลเซสชันได้ มีวิธีง่ายๆในการทำเช่นนี้หรือไม่? โปรดดูรหัส

app.listen(3000);

var io = require('socket.io');
var io = io.listen(app);

io.on('connection', function(client){
    // I want to use session data here
    client.on('message', function(message){
        // or here
    });
    client.on('disconnect', function(){
        // or here
    }); 
});

Question 2

วิธีนี้ใช้ไม่ได้กับซ็อกเก็ตที่อยู่เหนือการขนส่งแฟลชซ็อกเก็ต (ไม่ได้ส่งคุกกี้ที่จำเป็นไปยังเซิร์ฟเวอร์) แต่ทำงานได้อย่างน่าเชื่อถือ ฉันเพิ่งปิดใช้งานการขนส่ง flashsocket ในรหัสของฉัน

เพื่อให้ใช้งานได้ในด้าน express / connect ฉันกำหนดที่เก็บเซสชันอย่างชัดเจนเพื่อให้สามารถใช้งานได้ภายในซ็อกเก็ต:

MemoryStore = require('connect/middleware/session/memory'),
var session_store = new MemoryStore();
app.configure(function () {
  app.use(express.session({ store: session_store }));
});

จากนั้นภายในรหัสซ็อกเก็ตของฉันฉันรวมกรอบการเชื่อมต่อเพื่อให้ฉันสามารถใช้การแยกวิเคราะห์คุกกี้เพื่อดึงการเชื่อมต่อ sid จากคุกกี้ จากนั้นฉันค้นหาเซสชันในที่เก็บเซสชันที่มีการเชื่อมต่อนั้น:

var connect = require('connect');
io.on('connection', function(socket_client) {
  var cookie_string = socket_client.request.headers.cookie;
  var parsed_cookies = connect.utils.parseCookie(cookie_string);
  var connect_sid = parsed_cookies['connect.sid'];
  if (connect_sid) {
    session_store.get(connect_sid, function (error, session) {
      //HOORAY NOW YOU'VE GOT THE SESSION OBJECT!!!!
    });
  }
});

จากนั้นคุณสามารถใช้เซสชันได้ตามต้องการ

Question 3

โซลูชันโมดูลเซสชัน Socket.IO ทำให้แอปถูกโจมตี XSS โดยการเปิดเผยรหัสเซสชันที่ระดับไคลเอนต์ (สคริปต์)

ตรวจสอบโซลูชันนี้แทน (สำหรับ Socket.IO> = v0.7) ดูเอกสารที่นี่

Question 4

ฉันไม่แนะนำให้สร้างล้อใหม่ทั้งหมด เครื่องมือที่คุณต้องการเป็นแพ็คเกจ npm อยู่แล้วฉันคิดว่านี่คือสิ่งที่คุณต้องการ: session.socket.io ฉันใช้มันในวันนี้และจะเป็นประโยชน์มากฉันเดา !! การเชื่อมโยงเซสชันด่วนเข้ากับเลเยอร์ socket.io จะมีข้อดีมากมาย!

Question 5

แก้ไข:หลังจากลองใช้โมดูลบางตัวที่ใช้งานไม่ได้ฉันได้ไปและเขียนไลบรารีของตัวเองเพื่อทำสิ่งนี้ เสียบด้านหน้า: ไปตรวจสอบออกที่https://github.com/aviddiviner/Socket.IO-sessions ฉันจะทิ้งโพสต์เก่าไว้ด้านล่างเพื่อวัตถุประสงค์ทางประวัติศาสตร์:

ผมได้งานนี้ค่อนข้างเรียบร้อยโดยไม่ต้องบายพาสflashsocketขนส่งตามpr0zac 's วิธีการแก้ปัญหาดังกล่าวข้างต้น ฉันยังใช้ Express กับ Socket.IO นี่คือวิธีการ

ขั้นแรกส่งรหัสเซสชันไปยังมุมมอง:

app.get('/', function(req,res){
  res.render('index.ejs', {
    locals: { 
      connect_sid: req.sessionID
      // ...
    }
  });
});

จากนั้นในมุมมองของคุณให้เชื่อมโยงกับฝั่งไคลเอ็นต์ Socket.IO:

<script>
  var sid = '<%= connect_sid %>';
  var socket = new io.Socket();
  socket.connect();
</script>
<input type="button" value="Ping" onclick="socket.send({sid:sid, msg:'ping'});"/>

จากนั้นในผู้ฟัง Socket.IO ฝั่งเซิร์ฟเวอร์ของคุณให้หยิบและอ่าน / เขียนข้อมูลเซสชัน:

var socket = io.listen(app);
socket.on('connection', function(client){
  client.on('message', function(message){
    session_store.get(message.sid, function(error, session){
      session.pings = session.pings + 1 || 1;
      client.send("You have made " + session.pings + " pings.");
      session_store.set(message.sid, session);  // Save the session
    });
  });
});

ในกรณีของฉันฉันsession_storeคือ Redis โดยใช้redis-connectห้องสมุด

var RedisStore = require('connect-redis');
var session_store = new RedisStore;
// ...
app.use(express.session({ store: session_store }));

หวังว่านี่จะช่วยคนที่พบโพสต์นี้ขณะค้นหา Google (เหมือนที่เคยทำ;)

Question 6

ดูสิ่งนี้: การพิสูจน์ตัวตน Socket.IO

ฉันขอแนะนำว่าอย่าดึงสิ่งใด ๆ ผ่านclient.request...หรือclient.listener...เนื่องจากไม่ได้แนบโดยตรงกับclientวัตถุและชี้ไปที่ผู้ใช้ที่เข้าสู่ระบบคนสุดท้ายเสมอ!

Question 7

ตรวจสอบSocket.IO-connect

เชื่อมต่อ WebSocket Middleware Wrapper รอบ ๆ Socket.IO-node https://github.com/bnoguchi/Socket.IO-connect

สิ่งนี้จะช่วยให้คุณสามารถผลักคำขอ Socket.IO ลงในสแต็กมิดเดิลแวร์ Express / Connect ก่อนที่จะจัดการกับตัวจัดการเหตุการณ์ Socket.IO ทำให้คุณสามารถเข้าถึงเซสชันคุกกี้และอื่น ๆ ได้ แม้ว่าฉันไม่แน่ใจว่ามันใช้ได้กับการขนส่งทั้งหมดของ Socket.IO

Question 8

คุณสามารถทำให้การใช้งานด่วน socket.io เซสชั่น

แชร์มิดเดิลแวร์ของเซสชันด่วนที่อิงคุกกี้กับ socket.io ทำงานร่วมกับ express> 4.0.0 และ socket.io> 1.0.0 และจะไม่เข้ากันได้แบบย้อนหลัง

ทำงานให้ฉัน !!

Question 9

คุณสามารถดูได้ที่: https://github.com/bmeck/session-web-sockets

หรือคุณสามารถใช้:

io.on('connection', function(client) { 
  var session = client.listener.server.viewHelpers; 
  // use session here 
});

หวังว่านี่จะช่วยได้

Question 10

ฉันไม่แน่ใจว่าฉันทำถูกต้อง https://github.com/LearnBoost/socket.io/wiki/Authorizing

ด้วยข้อมูลการจับมือคุณสามารถเข้าถึงคุกกี้ได้ และในคุกกี้คุณสามารถคว้า connect.sid ซึ่งเป็นรหัสเซสชันสำหรับไคลเอนต์แต่ละราย จากนั้นใช้ connect.sid เพื่อรับข้อมูลเซสชันจากฐานข้อมูล (ฉันสมมติว่าคุณใช้ RedisStore)