登录
首页 >  文章 >  前端

Socket.IO安全传递用户ID的技巧

时间:2026-01-15 23:42:54 311浏览 收藏

IT行业相对于一般传统行业,发展更新速度更快,一旦停止了学习,很快就会被行业所淘汰。所以我们需要踏踏实实的不断学习,精进自己的技术,尤其是初学者。今天golang学习网给大家整理了《Socket.IO 安全传递用户ID的正确方法》,聊聊,我们一起来看看吧!

如何安全地在 Socket.IO 中传递用户 ID 进行数据库操作

本文详解为何直接从 DOM 读取用户 ID 并通过 Socket.IO 发送给服务器存在严重安全风险,并提供基于 JWT 和服务端身份绑定的可靠替代方案。

在您当前的实现中,前端通过

{{data}}
暴露用户 ID,再用 document.getElementById('iduser').innerHTML 获取该值,最后通过 Socket.IO 发送给服务器执行 SQL 更新(如 UPDATE users SET money = money + ? WHERE id = ?)。这种做法极不安全,绝对不可用于生产环境。

❌ 为什么这是危险的?

  • 用户可任意篡改 DOM:任何具备基础前端知识的用户均可通过浏览器开发者工具修改 #iduser 的内容(例如将 123 改为 456),从而伪造身份、越权操作他人账户;
  • Socket.IO 消息完全由客户端控制:socket.emit('updateMoney', { userId: '456', amount: 100 }) 可被恶意构造,服务端若未校验来源,将直接执行非法更新;
  • 绕过所有后端鉴权逻辑:您的 authController.isLoggedIn 仅作用于 HTTP 路由(如 /accueil),但 Socket.IO 连接是独立通道,未做身份绑定即等同于“匿名开放 API”。

✅ 安全实践:服务端绑定 + 无状态验证

1. 在 Socket.IO 连接时完成用户身份绑定

利用 Express 的 Session 或 JWT,在建立 Socket 连接时验证并关联用户身份:

// app.js —— Socket.IO 初始化阶段
io.use((socket, next) => {
  const token = socket.handshake.auth.token; // 或从 cookie/headers 提取
  if (!token) return next(new Error('Authentication error'));

  try {
    const decoded = jwt.verify(token, process.env.JWT_SECRET);
    socket.user = decoded; // 将用户信息挂载到 socket 实例
    next();
  } catch (err) {
    next(new Error('Invalid token'));
  }
});

io.on('connection', (socket) => {
  console.log('User connected:', socket.user.id); // ✅ 此处 user.id 来自可信 JWT,不可伪造

  // 监听充值事件(无需客户端传 userId!)
  socket.on('addMoney', (payload) => {
    const { amount } = payload;
    const userId = socket.user.id; // ✅ 唯一可信来源

    db.query(
      'UPDATE users SET money = money + ? WHERE id = ?',
      [amount, userId],
      (err, result) => {
        if (err) throw err;
        socket.emit('moneyUpdated', { newBalance: result.affectedRows });
      }
    );
  });
});

2. 前端调用时无需暴露或传输 userId

// client.js —— 安全调用示例
const token = document.querySelector('meta[name="jwt-token"]')?.content;
const socket = io({
  auth: { token } // 将 token 传入握手阶段
});

document.getElementById('add100Btn').addEventListener('click', () => {
  socket.emit('addMoney', { amount: 100 }); // ✅ 不传 userId!
});

? 提示:可在 HTML 中注入 JWT(需设置 httpOnly: false 且仅限短期有效 Token),或通过安全 Cookie + 后端中间件自动注入。

3. 额外加固建议

  • 最小权限原则:SQL 更新语句应使用参数化查询(您已做到),并限制字段(如禁止 SET money = ? 全量赋值);
  • 业务逻辑校验:增加余额上限、频率限制、操作日志等;
  • 禁用前端敏感数据渲染:移除
    ,避免任何用户 ID 显式暴露在 HTML 中;
  • JWT 短期有效 + Refresh Token 机制:防止 token 泄露后长期滥用。

总结

永远不要信任客户端提供的任何标识符(包括 userId、role、isAdmin 等)。真正的用户身份必须在服务端连接建立时完成一次可信绑定,并在整个会话生命周期内复用该上下文。Socket.IO 不是 HTTP 的延伸,而是独立信道——必须单独实施认证与授权,否则将彻底瓦解您的安全防线。

今天带大家了解了的相关知识,希望对你有所帮助;关于文章的技术知识我们会一点点深入介绍,欢迎大家关注golang学习网公众号,一起学习编程~

前往漫画官网入口并下载 ➜
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>