PHP Socket服務器（用於Android推送通知） - 安全/身份驗證問題

Question

我最近在PHP中編寫了一個套接字服務器，它將處理Android手機應用程序和我的PHP網絡服務器之間的通信。由於Android本身不支持推式通知，因此我們將使用我們的網絡服務器作爲中間件層來處理我們的「推送」。

套接字服務器是穩定的，運行良好，似乎很好地縮放。雖然我最終希望用C重寫這個，但我現在沒有必要的技能來做這件事，所以我將至少在PHP中停留至少一段時間。截至目前，我們的Android模擬器能夠通過服務器進行通信，獲得推送等，以便覆蓋部分內容。

我擔心的是，現在任何人都可以打開一個套接字到我的服務器，並且會得到一個客戶端連接。雖然我們不會傳遞敏感數據，但我不想讓任何人連接並接收廣播信息，吞併我的資源，並阻塞我的服務器。

問題是，如何保護這樣的服務器？假設我在端口25,000上運行 - 是否可以在該端口上設置某種SSL層，並希望像Android這樣的設備能夠通過該端口進行通信，而無需使用任何特殊協議或跳過循環？

我曾考慮要求連接客戶端在給予客戶端連接之前，根據我們的用戶數據庫對其用戶進行身份驗證，但這需要通過網絡以純文本形式傳遞憑證，而我不打算這麼做。

對此的任何建議都會非常有幫助 - 我對PHP的直接TCP通信頗爲陌生，覺得我可能會錯過簡單的允許在此級別進行身份驗證的內容。

附加信息：如果我能夠安全地獲取有效的用戶名和密碼，我將使用MySQL來驗證用戶，然後根據查詢結果接受/拒絕他們的連接。

在此先感謝..

Answer 1

首先，我希望你實現你的PHP套接字服務器的方式，它允許多個客戶端同時連接。這並不像在PHP中缺少線程那麼簡單，但當然是這樣。

現在，如果您已經實現了套接字服務器，添加TLS支持很容易。只需運行stunnel並讓您的PHP套接字服務器只接受本地接口上的請求。

Answer 2

我不認爲SSL真的會解決您的問題。最好使用SSL，您可以爲每個客戶端提供一個客戶端證書並在服務器上進行客戶端證書驗證。但是，您需要管理大量的證書。或者給每個人提供相同的客戶證書（不是一個好主意）。

您必須使用其憑證對客戶端進行身份驗證。你是對的，你不想通過網絡以純文本的形式發送證書，但有簡單的選擇。看看例如HTTP摘要認證（http://en.wikipedia.org/wiki/Digest_access_authentication）或xAuth（http://dev.twitter.com/pages/xauth）。您不必通過HTTP實現這些技術;你也可以在接受連接後通過一個簡單的tcp套接字發送挑戰（領域）。客戶端應該在短時間內發送有效的響應，或者服務器放棄連接。

順便說一下，你認爲HTTP流？請參閱http://ajaxpatterns.org/HTTP_Streaming 這可能會讓您的生活變得更加輕鬆，因爲您可以依賴一些其他服務（例如Apache）爲您辛苦工作，並且您可以專注於應用程序的業務價值。

Answer 3

你可能要考慮： 雲端至設備通訊：http://code.google.com/android/c2dm/index.html

唯一的缺點是，它僅是Android支持> = 2.2

Answer 4

不知道爲什麼你們沒有使用過的一些用於java的架子消息庫/服務器，然後創建一個連接到消息代理並處理所有初始認證的android服務。 服務只是坐在那裏等待任何傳入的消息。

（我敢肯定是監聽網絡數據不加電的收音機，只有當數據實際上有無線電的權力了。我懷疑這是C2DM是如何工作的。） 這是因爲你只是在等待數據，所以更好的是輪詢。你並不是經常發送請求數據的數據包。但是你已經知道了。

我這樣做了（我使用了rabbitmq-java庫和rabbitmq消息隊列服務器），並且立即爲我的應用推送了樣式通知。即使使用Android 1.5設備。

關於安全：

你也可以實現自己的安全，而且不必再發送明文密碼。在通過網絡傳遞之前，使用類似MD5的密碼來簡單加密密碼。
然後將加密的密碼與您擁有的加密密碼進行比較。 這樣，只有加密的密碼纔會通過網絡。