Задать вопрос
@devdev10111
express.js

Нужно ли проверять аутентификацию пользователя при каждом socket-ивенте?

Нужно ли проверять аутентификацию пользователя при каждом socket-ивенте?
Или достаточно только один раз - при on connection (безопасно ли это будет)?

Под аутентификацией имею в виду операции по проверке JWT/Bearer токена. На каждый socket-event мне кажется затратно проверять подпись, тк сокеты могут сыпаться быстро и в большом количестве.

Например, при подключении к сокет серверу в query буду отправлять userId и accessToken. Далее буду проверять, что accessToken валдиный для userId. Может ли пользователь отправить сначала свой userId со своим accessToken, а затем, рамках этого сокета подменить userId?
  • Вопрос задан
  • 474 просмотра
Комментировать
Подписаться 12 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
@KoreanGuy
Можно проверять, можно нет. Подменить не сможет, но токен может истечь во время сессии. Если кто-то украдет чужой токен и подключится пока токен валиден, то в теории, если валидировать только при подключении, он сможет использовать украденный токен пока не отсоединится, даже если токен живет только час.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Разработчик-репетитор на курсы по Node.js
html academy
от 20 000 до 40 000 ₽
Senior Fullstack Javascript Developer (зарубежный проект)
Outlines Tech
от 4 000 до 5 000 €
Python TeamLead/Руководитель группы разработки Backend
pro.finansy
от 350 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сверстать новый дизайн для веб терминала
02 апр. 2023, в 00:33
1400 руб./за проект
Реверс-инжиниринг обфусцированного JS WASM
01 апр. 2023, в 23:50
25000 руб./за проект
Установить и админить маркетплейс ( можно wp ) c дизайном дефолтным
01 апр. 2023, в 23:35
1000 руб./за проект
Ещё заказы