Socket.io基于Token的认证

2019独角兽企业重金招聘Python工程师标准>>>

作者好牛逼，我不懂的他全懂了。

Token-based Authentication with Socket.IO

简介

在实时框架中做授权是个比较大的挑战。也许这是因为他们的工作方式和普通的web应用完全不一样。其风险在于，如果没有正确的做认证，你有可能从其他用户信息流嗅探到信息。socket 服务器不会自动的知道哪个用户登录了，因此所有的人都可以加入流。

下面这张图显示了常有的错觉:

其错误在于，觉得在web应用上已授权用户，同样的在 socket 流中被授权。但是这里是两个完全不一样的频道。

Cookie-based 和 Token-based 授权

这里有两种方式处理这种问题:传统的 cookie-based 方式和 token-based 方式。下图显示了这两种