Prima di iniziare, tutte le informazioni andranno su HTTPS.
Quindi, il mio sito web è fondamentalmente come un forum con la parte di autenticazione finita e funzionante. Questo forum ha un'applicazione di chat in tempo reale che invia e riceve informazioni da un server Node.js. Voglio che le persone siano in grado di inviare informazioni solo se si è connessi e solo dal proprio account.
Quindi sto pensando di farlo in questo modo:
- L'utente accede (il forum non è il client di chat)
- PHP imposta un cookie con un token di sicurezza che è una stringa HEX generata casualmente (utilizzando la funzione mcrypt_create_iv, con una lunghezza casuale compresa tra 15 e 22 caratteri)
- Anche il token viene salvato in un database MySQL, insieme all'ID utente
- Quando l'utente invia un messaggio tramite chat, verrà inviato anche il suo ID utente, insieme al suo token di sicurezza
- Il server Node.js confronterà il token di sicurezza nel database con l'ID utente e, se corrispondono, l'utente sarà in grado di chattare
Questo è un buon schema di sicurezza, se non perché e come posso migliorarlo? Grazie