关于聊天服用户登陆验证的问题

leforn

我们在用类QQ聊天软件时，首先输入QQ账号和密码进行登陆，服务器接受信息，确认账号正确后，是如何维持该客户端的通讯权限的?

我想到有两种方式：
1、登陆后，发送信息时，连同账号密码串密文一起加入信息串里，服务端接收后验证，这样每次都需要服务端验证账号，费时费力，也容易被截取并伪造信息；

2、登陆后，服务端产成唯一密key，保留该密key以及对应的用户ip和端口，然后返回密key给客户端，客户端发送信息时，连同密key一起发送，服务器只需验证该密key和ip以及端口是否相同；



欢迎高手拍砖，分享更好方法!!!!

liexusong

用类似于session的东西吧

hellioncu

这样可以。不过最好是在通讯本身就是加密的基础上

samlumengjun

tcp还是udp?udp的话被攫取密钥后伪造源地址和源端口发消息给服务器,你怎么验证?要保证安全性,需要客户端再动态生成一个随机串来填补原始密钥.

leforn

tcp还是udp?udp的话被攫取密钥后伪造源地址和源端口发消息给服务器,你怎么验证?要保证安全性,需要客户端再动 ...
samlumengjun 发表于 2010-07-12 17:27

   

嗯，非常感谢。

langue

QQ 的安全性是一个笑话。

你说的需要用到一个叫做 session keep-alive 的东西。为每个会话赋予唯一可以辨别的 token，该 session 一定时间后自动失效，只有不断地 keep alive 才能让 session 保持有效。

这主要是网络协议的问题了，加密算法的选择只是协议设计的一部分。

leforn

谢谢Langue版主的指点