Защитите приложение Node.js, интегрированное с приложением PHP

Question

У меня есть стороннее веб-приложение PHP (ELGG), которое я хотел бы расширить с помощью приложения Node.js. Пользователи аутентифицируются в приложении PHP, проверяя предоставленные им учетные данные в отношении базы данных MySQL.

Как я могу защитить доступ к приложению Node.js, не переписывая код аутентификации в узле? Есть ли способ разрешить пользователям доступ к приложению Node.js, только если они вошли в приложение PHP?

Answer 1

В общем, вы должны сделать приложение Node.js веб-службой, сделать его доступным локально и не публично, а затем написать PHP-код, который выполняет аутентификацию, а затем вызывает API, предоставляемый Node.js, а затем создает ответ для пользователь использует эти данные.

Answer 2

Вы можете использовать DB или какой-либо другой общий репозиторий для хранения пользователей идентификатор сеанса, который узел может проверить, чтобы убедиться, что пользователь вошел в систему.

Answer 3

Я думаю, что лучший способ приблизиться было бы PHP и приложения Node работают как субдомены одного и того же корневого домена, а затем проверьте приложение Node для файла cookie PHP-приложения. Это позволило бы избежать дополнительного вызова базы данных в ответе Ирвина.

Как только пользователь входит в приложение PHP, для phpapp.mydomain.com (* .mydomain.com) создается Cookie с токеном аутентификации. Приложение Node, размещенное на узле nodeapp.mydomain.com, может получить доступ к токенам cookie cookie, созданным на phpapp.mydomain.com.

Answer 4

Я написал плагин Elgg, который обеспечивает функциональность доступа к серверу node.js для websocket. Вы можете проверить код здесь: elgg-nodejs

Я просто разобрать печенье, чтобы получить сеанс пользователя:

getElggSession = function(socket) { 
    return socket.handshake.headers.cookie.match(/Elgg=(\S*);?/)[1]; 
}; 

Может быть, это не самый лучший способ для безопасности ...