WAMP.ws :如何管理安全和隐私？

Question

我正在使用WAMP.ws规范来设计我网站上的公共/私人用户聊天室。

当我试图保存所有连接用户的列表时，我的问题就来了。我能做的是：

1. 所有用户都订阅“/联系人/连接”主题。
2. 当用户连接时，他会发布带有"user_id“参数的"hello”消息，告诉其他用户他已经连接到了。

->但我怎么能信任用户呢？任何用户都可以发送带有随机"user_id“参数的"Hello”消息。

对我来说，服务器在广播消息之前必须做一些检查。但是它是否符合WAMP.js规范呢？我读过一条已发布的消息总是由服务器广播的。

另一种解决方案可能是使用RPC调用连接用户。实际上，我这么做是为了验证用户身份。但是服务器可以自己将事件广播到主题“/联系人/连接”吗？(在RPC调用之后，而不是在“发布”消息之后)，我读到该事件只是来自客户端的“发布”的直接结果。此外，这将不会阻止常规用户发送事件“/联系人/连接”主题，该主题将由服务器广播。

我觉得我的两种解决方案(在广播之前检查已发布的消息，或者在RPC调用后由服务器广播事件)都违反了WAMP.js规范。我错了吗？

谢谢

Answer 1

湿差

1. 身份验证
2. 授权
3. 验证

Authentication在WAMP路由器上建立WAMP客户端的标识。

当使用Autobahn|Python滚动您自己的WAMP路由器时，here是演示如何实现不同身份验证机制的多个示例。

当使用Crossbar.io (一个集成的生产准备WAMP路由器)时，将内置(here)身份验证机制。

Authorization确定是否允许给定的WAMP客户端在给定URI上执行WAMP操作(如发布或调用)。

当使用Autobahn|Python滚动您自己的WAMP路由器时，here是一个演示如何实现自定义授权的示例。

Crossbar.io有一个内置的静态授权方案，并且允许注册自定义的授权过程(here)。

最后，有验证，它检查应用程序级事件或调用的有效负载。

Here是Autobahn\Python的一个例子。Crossbar.io不久将允许注册用于验证的自定义WAMP过程。