Grails 带Spring Security的Netty Socketio
我目前有一个服务器实现,javascript前端通过Netty socketio使用的socketio协议进行连接。该实现在一个缺陷的情况下运行良好 据我所知,让websocket通道了解用户安全上下文的唯一方法是在握手中传递JSESSIONID,这意味着将其放在客户端页面上 这不可能是安全的,对吗?这还意味着,由于我们使用的是HTTPONLY头(更重要的原因是它不应该在前端),我们需要调用JS来返回当前用户的JSESSIONID。即使我们用GUID来抽象它,它仍然允许会话劫持,不是吗Grails 带Spring Security的Netty Socketio,grails,spring-security,socket.io,netty,Grails,Spring Security,Socket.io,Netty,我目前有一个服务器实现,javascript前端通过Netty socketio使用的socketio协议进行连接。该实现在一个缺陷的情况下运行良好 据我所知,让websocket通道了解用户安全上下文的唯一方法是在握手中传递JSESSIONID,这意味着将其放在客户端页面上 这不可能是安全的,对吗?这还意味着,由于我们使用的是HTTPONLY头(更重要的原因是它不应该在前端),我们需要调用JS来返回当前用户的JSESSIONID。即使我们用GUID来抽象它,它仍然允许会话劫持,不是吗 有人能给
有人能给我一个更好的建议吗?看看GitHub的问题:事实上这就是我。了解JSESSIONID实际上无助于获取安全上下文