Seguridad con PHP & NodeJS con Memcached

#1 (**permalink**) 27/01/2015, 14:52

Saludos.

Estoy realizando una práctica que nunca había realizado hasta ahora, y buscaba consejo de los experimentados en nodejs dado que es algo nuevo para mi.

Estoy realizando un ERP bajo PHP y quiero que todas las consultas puedan fluir lo mas rapido posible. Informándome he visto que nodejs reduce drásticamente el periodo de espera gracias a su programación asincrona y orientada a eventos por el lado del servidor.

Dado que mi aplicativo en nodejs necesito que sea solamente accesible a los usuarios logueados, he realizado la tarea de montar un servidor memcached que inserte los valores de la sesión en una clave con un numero único, y que tenga la misma caducidad que la sesión y se vaya actualizando su vigencia conforme el usuario este en el sitio.

He tomado este ejemplo de aqui: http://stackoverflow.com/questions/2...s-and-sessions

Mi pregunta es, en cuanto a seguridad

¿Como de segura seria esta autenticación?
¿Puedo hacer que solamente mi app consulte a mi servidor memcached?

Entiendo que solamente aceptando peticiones de localhost o 127.0.0.1 al servidor memcached valdría, pero quizas me estoy complicando demasiado y hay otro tipo de autentificación php/nodejs mas conveniente.

PD: He valorado la opcion de un servidor oauth2, pero la cosa se me complica un poco mucho.

#2 (**permalink**) 28/01/2015, 08:52

algun consejo?

Carlangueitor · #3 (**permalink**) 28/01/2015, 10:41

¿Exactamente para que usas Node?

¿Es necesaria la comunicación de Node al cliente? ¿Podrías comunicarte solo PHP->Node?

Saludos

#4 (**permalink**) 28/01/2015, 12:38

Utilizaría node para listar a tiempo real una lista de diferentes entidades. Si entrase a cliente vería el listado de clientes y podría actualizar la sentencia filtrando, borrando, ordenando e incluso podría ir viendo como se van dando de alta nuevas.

Entiendo que deberia de utilizar node js mas socket io para ello, junto a otros modulos.

#5 (**permalink**) 01/02/2015, 16:13

Upeo el tema

#6 (**permalink**) 03/02/2015, 14:16

Nadie?

utan · #7 (**permalink**) 03/02/2015, 17:25

Estuve leyendo el Link que posteastes , si no estas usando express/connect es bastante similar a la forma como tengo planteado mi sitio, pero yo no uso Mencache pero me imagino que es mas plausible usarlo yo no lo hice..

Lo que hice es que a mi sistema PHP de identificación y en la base de datos agregue un token aleatorio de el login , y este Token aleatorio lo coloque en una Cookie...

La Cookie la definini como normalmente se ase ya sea como que fuera de session php que se destruya al serrar el browser o que siga viva mientras el usuario no se identifique en otro browser y que actualice el token aleatorio dejando inservible el antiguo..

Este behavior es similar al de PHP el cual una cookie de PHP es colocada en tu browser y carga las session PHP al ser cargada de nuevo...

De esta forma si el usuario refresca su Browser como tiene el token de el login que izo (ojo) es aleatorio al asar cada vez que se identifique este aunque cambie de socket.id , el método server:use() de socket.io socket.io#serveruse detectas esta Cookie con el Token aleatorio creado y creas todas las propiedades que este objeto deba tener. ..

Claro esta puedes llamar a esto redundant porque tendrías que hacer el proceso una y otra vez, si usas Express/Connect eliminas esta redundancia .

#8 (**permalink**) 04/02/2015, 14:20

Cita:

Iniciado por utan

Estuve leyendo el Link que posteastes , si no estas usando express/connect es bastante similar a la forma como tengo planteado mi sitio, pero yo no uso Mencache pero me imagino que es mas plausible usarlo yo no lo hice..

Lo que hice es que a mi sistema PHP de identificación y en la base de datos agregue un token aleatorio de el login , y este Token aleatorio lo coloque en una Cookie...

La Cookie la definini como normalmente se ase ya sea como que fuera de session php que se destruya al serrar el browser o que siga viva mientras el usuario no se identifique en otro browser y que actualice el token aleatorio dejando inservible el antiguo..

Este behavior es similar al de PHP el cual una cookie de PHP es colocada en tu browser y carga las session PHP al ser cargada de nuevo...

De esta forma si el usuario refresca su Browser como tiene el token de el login que izo (ojo) es aleatorio al asar cada vez que se identifique este aunque cambie de socket.id , el método server:use() de socket.io socket.io#serveruse detectas esta Cookie con el Token aleatorio creado y creas todas las propiedades que este objeto deba tener. ..

Claro esta puedes llamar a esto redundant porque tendrías que hacer el proceso una y otra vez, si usas Express/Connect eliminas esta redundancia .

Si veo que tengo problemas de sincronización con memcache lo haré así