SignalR Hub 클래스에서는 사용자에게 Context.ConnectionId으로 전화를 걸 수 있습니다. 사용자를 함께 연결하기 위해 Dictionary<string, string>에 저장하려고합니다. 다른 사용자의 클라이언트 ID를 사용자의 클라이언트로 반환 할 때 위험 또는 보안 취약성이 있습니까?다른 사용자의 연결 ID를 클라이언트에게 반환하는 위험이 있습니까?
예, 일부 샘플에서이 방법을 사용했지만 나쁘다고 생각합니다. 연결 ID가 누설되면 사용자는 연결시 메시지를 보내고받을 수 있습니다. 고유 한 다른 ID를 작성하고 ID와 연결 ID 간의 맵핑을 내부적으로 저장하여 다시 맵핑 할 수 있도록하십시오.
기본적으로 양식 승인 티켓과 동일한 개념입니다. 물론 그것은 암호화되어 있지만 누군가가 그것을 얻는다면 그들은 당신을 흉내낼 수 있습니다.
MessengR에서이 논리의 샘플을 참조하십시오. https://github.com/davidfowl/MessengR/blob/master/MessengR/Hubs/Chat.cs#L67
따라서 권장 사항은 –
입니다. 바로 말씀 드리겠습니다. "고유 한 다른 ID를 만들고 내부 ID로 연결 ID의 매핑을 저장하여 다시 매핑 할 수 있도록하십시오." – davidfowl
Ahhh 잡았다! 따 :) –