是一个Socket.IO套接字ID敏感/私人数据?

当一个新的连接被Socket.IO处理时,它创build一个Socket对象,并且这个对象的一个​​属性是id 。 这是用于识别连接的“不可猜测”(根据文档)string。

在构build应用程序时,是否认为将此ID广播给其他客户端是安全的,安全的和良好的做法? 我的倾向是哈希ID和广播摘要可能是一个更好的主意。

ID不是敏感数据,除非你自己的代码以某种方式使其敏感。 没有socket.io客户端操作接受套接字ID,所以如果客户端有套接字ID,那么除非您的代码实现了对其进行操作的消息,否则它们无能为力。

这是不可猜测的,所以你可以使用它作为一个id与其他客户端共享,而不允许该客户端知道谁可能已经被给予的ID(如匿名ID)。

因此,使用它作为标识符来引用某个其他用户的套接字正是它的目的,并且不会导致安全或隐私问题,除非您自己的客户端操作引起这样的情况。

Interesting Posts

Nodejs AWS SDK S3生成预留的URL

使用node.js gmail api列出收件箱邮件

Sequelize-CLI Seeders – 无法读取未定义的属性

节点js服务器不加载我的网站文件

帆 – 反应:从父组件访问道具

SendGrid-nodejs或者Nodemailer?

如何导出只能在asynchronouscallback中使用的对象?

JavaScript承诺依赖性处理

node.js服务器限制新的连接

node-mongodb-native或Mongoose