本文详解为何直接从 dom 读取用户 id 并通过 socket.io 发送给服务器存在严重安全风险,并提供基于 jwt 和服务端身份绑定的可靠替代方案。
在您当前的实现中,前端通过
{{data}} 暴露用户 ID,再用 document.getElementById('iduser').innerHTML 获取该值,最后通过 Socket.IO 发送给服务器执行 SQL 更新(如 UPDATE users SET money = money + ? WHERE id = ?)。这种做法极不安全,绝对不可用于生产环境。
Socket.IO 连接是独立通道,未做身份绑定即等同于“匿名开放 API”。利用 Express 的 Session 或 JWT,在建立 Socket 连接时验证并关联用户身份:
// app.js —— Socket.IO 初始化阶段
io.use((socket, next) => {
const token = socket.handshake.auth.token; // 或从 cookie/headers 提取
if (!token) return next(new Error('Authentication error'));
try {
const decoded = jwt.verify(token, process.env.JWT_SECRET);
socket.user = decoded; // 将用户信息挂载到 socket 实例
next();
} catch (err) {
next(new Error('Invalid token'));
}
});
io.on('connection', (socket) => {
console.log('User connected:', socket.user.id); // ✅ 此处 user.id 来自可信 JWT,不可伪造
// 监听充值事件(无需客户端传 userId!)
socket.on('addMoney', (payload) => {
const { amount } = payload;
const userId = socket.user.id; // ✅ 唯一可信来源
db.query(
'UPDATE users SET money = money + ? WHERE id = ?',
[amount, userId],
(err, result) => {
if (err) throw err;
socket.emit('moneyUpdated', { newBalance: result.affectedRows });
}
);
});
});// client.js —— 安全调用示例
const token = document.querySelector('meta[name="jwt-token"]')?.content;
const socket = io({
auth: { token } // 将 token 传入握手阶段
});
document.getElementById('add100Btn').addEventListener('click', () => {
socket.emit('addMoney', { amount: 100 }); // ✅ 不传 userId!
});? 提示:可在 HTML 中注入 JWT(需设置 httpOnly: false 且仅限短期有效 Token),或通过安全 Cookie + 后端中间件自动注入。
永远不要信任客户端提供的任何标识符(包括 userId、role、isAdmin 等)。真正的用户身份必须在服务端连接建立时完成一次可信绑定,并在整个会话生命周期内复用该上下文。Socket.IO 不是 HTTP 的延伸,而是独立信道——必须单独实施认证与授权,否则将彻底瓦解您的安全防线。