我需要使用客户端的用户名,密码和开发人员密码验证socket.io客户端连接(开发人员密码用于确保服务仅用于由注册开发者开发的应用程序)。如何使用用户密码和开发人员密码验证socket.io websockets
问题是,开发人员密码不应该被应用程序的用户或客户端看到。有没有一种方法可以在客户端不知道开发人员密码的情况下使用客户端用户名,密码和开发者密码对用户进行身份验证任何帮助是极大的赞赏。
谢谢。
我需要使用客户端的用户名,密码和开发人员密码验证socket.io客户端连接(开发人员密码用于确保服务仅用于由注册开发者开发的应用程序)。如何使用用户密码和开发人员密码验证socket.io websockets
问题是,开发人员密码不应该被应用程序的用户或客户端看到。有没有一种方法可以在客户端不知道开发人员密码的情况下使用客户端用户名,密码和开发者密码对用户进行身份验证任何帮助是极大的赞赏。
谢谢。
结帐这篇文章:http://blog.bigpanda.io/session-based-socket-io-authorization/。那里的指导方针与Nitzan在他最后的回答中提出的建议相结合应该能够做到。
链接应作为评论发布。 –
谢谢。我没有意识到这一点。 – Shahar
客户端无法知道开发人员密码的原因是什么?我假设“客户”和“开发者”是一个一样的吗?如果是这样,商业性的原因是什么(例如:发出密码的人和写客户代码的实际人是不同的人?)。客户可以知道另一个*秘密,例如您为他们生成的令牌,证书等? –
@NitzanShaked dev密码供开发人员在开发应用程序时使用该服务。如果由开发者开发的应用程序的用户/客户端了解了开发者密码,那么他们也将使用该服务。这里的客户是指使用开发人员开发的应用程序的人。 –
那么,我看到它的方式有两种选择:一种是做一些应用程序(例如Urban Airship),另一种是在应用程序中有开发人员的秘密,客户可以在其中看到它。但是,这个秘密只能执行非常具体的操作,为了执行更多特权的应用程序范围的操作(与特定的客户操作相反),开发人员使用“开发人员主密钥”,该密钥只存储在开发人员的机器上。另一种选择 - 在下一个评论。 –