這是很基礎的概念�,之前沒怎么弄過http����。對于自己�,算是做個筆記吧。
一���、socket安全驗證
socket鏈接是握手之后就一直連著,所以這條鏈接在第一包驗證之后�,之后這條鏈接不需要再驗證�。“第一個包”可能描述不準確����,因為有時候第一包不一定就驗證,可能是做路由之類���。這里就不管這種情況了,只管第一個包直接驗證的情況�。
可以理解為server接受到client的鏈接����,并且驗證通過(如用戶及密碼對了)這個client鏈接后�。以后這個client發過來的包,server都直接做邏輯處理而不再需要做驗證鏈接合法性�。這個信任是直到鏈接斷開的�。
如果非法客戶端來模擬登陸����,至少需要得到有效的id及密碼,這已經是密碼自身安全的事情�,不涉及這里談的鏈接安全性����。
如果非法客戶端用正確的id及密碼登陸后���,發些非法包���,這里的包驗證應該是服務器上包處理時的包檢查及邏輯檢查的事���,就是通常的游戲說的防刷(包頻率����、包里數據的合法范圍等)����。
二、http的安全驗證
這里只關心http的短連接����。
短連接就是每次建立鏈接-發包-斷開�。同一client的前后兩次發到server的包�,也相當于獨立的兩次,同一client的驗證就需要每個http請求都要驗證下�。于是有了session和cookie����。cookie是將client的標識放在client端,常用于server沒有賬戶密碼驗證的方式���。這里不討論cookie。
server在第一個http請求驗證client后����,給他分配一個session���。這個session簡單的可以理解為server和client約定的一個client憑證(有有效期)���。之后client在每個請求里加上這個session里規定的值,例如一個合適長度的隨機字符串�。
這里的session不能有讓惡意用戶很容易破解的規律����,例如用戶的id之類的����。所以上邊提到隨機字符串之類的。