PHP和node.js共享会话标识

我正在考虑使用node.js和socket.io来实现聊天/消息传递系统来传递消息等。

但是,系统将使用PHPauthentication系统使用PHP会话。 显然我需要一些方法知道连接的node.js用户X是PHPauthentication的用户X?

经过一番研究,似乎使用Memcache与节点共享php会话(通过存储在JSON等)是相当普遍的。 但是,仍然存在确定哪个连接的节点用户是存储php会话的问题?

我的第一个想法是使用PHP设置的cookie,利用PHPSESSID值等 – 但是用户肯定可以修改该cookie给其他人的PHPSESSID,并且bazinga? (很明显,他们要么知道PHPSESSID,要么非常善于猜测,但这似乎仍然是一个安全漏洞?

你对此有什么想法? 是达到我想要的最好的方法吗?

使用PHP会话ID应该足够安全以满足您的需要,事实上,这是几乎任何PHP站点都会处理身份validation的。 用户login后,必须在浏览器中保存某种“令牌”,以让网站知道他们是谁,以便确定他们已login。 你可以创build自己的,或者如果你更容易使用已创build的会话。 这个想法是,会话ID值足够长和足够复杂,以至于在特定用户的身份validation有效期间不能被猜测。

如果您想进一步保护您的用户,请确保您始终使用SSL连接,这样无法侦听会话ID。