安全地将客户端身份验证从LoginServer转发到GameServer

Question

简单的结构和困境的总结：

• 入口点：客户端成功地向单个LoginServer进行身份验证(通过LoginServer连接提供有效的username+password)。LoginServer是唯一能够访问盐渍登录数据库的服务器。
• LoginServer智能地从GameServer列表中选择一个GameServer来分配这个客户端。在被分配到一个GameServer之后，客户端将发送I/O请求给所说的GameServer，这将根据游戏设计的性质在内部进行处理。
• 困境：GameServer不包含客户端的数据，也不知道LoginServer和客户端之间发生的“握手”。GameServer无法将从LoginServer到适当映射的客户端的身份验证.因为它有什么用呢？
• 潜在解决方案：在成功地与LoginServer进行身份验证之后，客户端将被赋予一个唯一的令牌来使用GameServer(s)验证自己。

附带注意:我假设使用基于IP的任何东西都是由于潜在的IP欺骗而引起的安全问题。

Answer 1

您可以在服务器和客户端之间创建会话。

会话详细信息应由您决定，并应在用户使用LoginServer登录时创建。然后，登录服务器应该将这些细节转发到游戏服务器，以便客户机和服务器都知道它们的身份。

额外阅读-

Creating a secure login using sessions and cookies in PHP

http://blog.teamtreehouse.com/how-to-create-bulletproof-sessions

What are sessions? How do they work?

PHP Session Security