這是很基礎的概念,之前沒怎么弄過http。對于自己��,算是做個筆記吧��。
一��、socket安全驗證
socket鏈接是握手之后就一直連著,所以這條鏈接在第一包驗證之后��,之后這條鏈接不需要再驗證��。“第一個包”可能描述不準確��,因為有時候第一包不一定就驗證,可能是做路由之類。這里就不管這種情況了��,只管第一個包直接驗證的情況��。
可以理解為server接受到client的鏈接��,并且驗證通過(如用戶及密碼對了)這個client鏈接后��。以后這個client發過來的包,server都直接做邏輯處理而不再需要做驗證鏈接合法性��。這個信任是直到鏈接斷開的��。
如果非法客戶端來模擬登陸,至少需要得到有效的id及密碼,這已經是密碼自身安全的事情,不涉及這里談的鏈接安全性。
如果非法客戶端用正確的id及密碼登陸后��,發些非法包��,這里的包驗證應該是服務器上包處理時的包檢查及邏輯檢查的事��,就是通常的游戲說的防刷(包頻率、包里數據的合法范圍等)。
二、http的安全驗證
這里只關心http的短連接��。
短連接就是每次建立鏈接-發包-斷開��。同一client的前后兩次發到server的包��,也相當于獨立的兩次,同一client的驗證就需要每個http請求都要驗證下。于是有了session和cookie。cookie是將client的標識放在client端��,常用于server沒有賬戶密碼驗證的方式��。這里不討論cookie��。
server在第一個http請求驗證client后,給他分配一個session。這個session簡單的可以理解為server和client約定的一個client憑證(有有效期)。之后client在每個請求里加上這個session里規定的值,例如一個合適長度的隨機字符串��。
這里的session不能有讓惡意用戶很容易破解的規律��,例如用戶的id之類的��。所以上邊提到隨機字符串之類的。