Как подружить Ratchet WebSocket сервер и $_SESSION и стоит ли вообще?

Question

[LeonidPokrovskiy]

Разрабатываю сайт. При входе/регистрации в переменную $_SESSION записывается необходимая информация о юзере. Когда происходит какой-то AJAX запрос, например, редактирование профиля, сервер всегда проверяет $_SESSION, чтобы понять, может ли вообще этот пользователь редактировать этот профиль или нет и авторизован ли юзер вообще.

Я разрабатываю чат. Допустим на сервер приходит вот такая информация:

{
user_from_id: 1,
user_to_id: 2,
message: 'Привет!',
}

Как быть? Как проверить, что user_from_id это именно тот пользователь, что отправил сообщение. Ведь запрос элементарно подделать.

Знаю о варианте с Symphony Session, но у меня нигде Symphony не используется на сайте. Как быть?

Или же можно это проверить как-то иначе?

Я думал вот о каком варианте:

Присылать на сервер PHPSESSID, искать файлик (да, у меня не в бд хранятся сессии), который относится к присланному PHPSESSID и смотреть, что там. Но чувствую, что это плохое решение.

Comments

[Кирилл Несмеянов]

Есть подозрения, что через любой session handler: https://www.php.net/manual/ru/class.sessionhandler.php аналогично симфонёвому: socketo.me/docs/sessions

[2vtlk]

у меня есть решение под ларавель, но код смогу скинуть завтра

Answer 1

[Randewoo]

Генерировать юзеру уникальный ключ при авторизации - токен. Далее, от юзера отправлять сообщение и прикреплять токен, сверять на сервере, валидный ли он, или нет.