未经验证的laravel事件广播的安全风险是什么

我认为这种模式与传统的web应用程序或API没有什么不同。同样的问题也存在,与套接字无关。您的体系结构现在具有套接字。混合中的io/NodeJ只是意味着身份验证需要更多的参与。当您从使用文件系统和单个服务器的doing会话转移到服务器池(比如memcached或会话数据库)时,它改变了身份验证的处理方式,而不是对身份验证的需要。因此,在某种程度上,你觉得你是在请求许可,以逃避这一点:)

实际上,只有你才能说你的应用程序是否需要它。如果像你说的,不重要,不公开。。。您是否可能需要身份验证才能在传统web应用程序中的站点页面上查看它?你只是在偷懒吗?

1) 虐待。我是否可以修改请求以迭代某个ID以获取任何有用的信息?

2) 错过的机会。节点后端是否会增长?在某个时候,您会后悔没有经过身份验证的用户吗?

3) 拒绝服务。我是否可以提出高成本请求并耗尽资源?

可能是我错过的其他人。只有我的两分钱。关于你的问题,我稍后会提供一个例子, Authorization for laravel passport through socket.io for broadcasting channels