@LeonidPokrovskiy

Как подружить Ratchet WebSocket сервер и $_SESSION и стоит ли вообще?

Разрабатываю сайт. При входе/регистрации в переменную $_SESSION записывается необходимая информация о юзере. Когда происходит какой-то AJAX запрос, например, редактирование профиля, сервер всегда проверяет $_SESSION, чтобы понять, может ли вообще этот пользователь редактировать этот профиль или нет и авторизован ли юзер вообще.

Я разрабатываю чат. Допустим на сервер приходит вот такая информация:

{
user_from_id: 1,
user_to_id: 2,
message: 'Привет!',
}


Как быть? Как проверить, что user_from_id это именно тот пользователь, что отправил сообщение. Ведь запрос элементарно подделать.

Знаю о варианте с Symphony Session, но у меня нигде Symphony не используется на сайте. Как быть?

Или же можно это проверить как-то иначе?

Я думал вот о каком варианте:

Присылать на сервер PHPSESSID, искать файлик (да, у меня не в бд хранятся сессии), который относится к присланному PHPSESSID и смотреть, что там. Но чувствую, что это плохое решение.
  • Вопрос задан
  • 64 просмотра
Пригласить эксперта
Ответы на вопрос 1
@Randewoo
Генерировать юзеру уникальный ключ при авторизации - токен. Далее, от юзера отправлять сообщение и прикреплять токен, сверять на сервере, валидный ли он, или нет.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы