作者好牛逼,我不懂的他全懂了。
Token-based Authentication with Socket.IO
简介
在实时框架中做授权是个比较大的挑战。也许这是因为他们的工作方式和普通的web应用完全不一样。其风险在于,如果没有正确的做认证,你有可能从其他用户信息流嗅探到信息。socket 服务器不会自动的知道哪个用户登录了,因此所有的人都可以加入流。
下面这张图显示了常有的错觉:
其错误在于,觉得在web应用上已授权用户,同样的在 socket 流中被授权。但是这里是两个完全不一样的频道。
Cookie-based 和 Token-based 授权