Witam!

Mam prosty czat na socketach i problem jest w tym, że socketa mozna tez przez konsole wyslac i łatwo jest się podszywac, nie mam pomysłu jak to naprawic
strona:

[PHP] pobierz, plaintext 
socket.on('message', function(data){
	  $('.chat-body').append('<div><div class="chat-message" id="chat-message"><div class="chat-name"><img src="'+data.avatar+'" class="img-rounded float-left avatar"><p><strong>'+data.login+'</strong></p></div><div class="chat-message"><p>'+data.message+'</p></div></div></div>');
	  $('#message').val('');
	  document.getElementById("chat").scrollTop = document.getElementById("chat").scrollHeight;
	});
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
socket.emit("message", { admin: "<?php print($admin); ?>", avatar: "<?php print(htmlspecialchars(trim($_SESSION["steam_avatar"]))); ?>", login: "<?php print($_SESSION["steam_personaname"]); ?>", message: $("#messageee").val() });
[PHP] pobierz, plaintext 

serwer:

[PHP] pobierz, plaintext 
socket.on('message', function(data){
				if(data.admin == 1) {
					var login = '<span style="color: red;">'+data.login+'</span>';
				} else if(data.admin == 2) {
					var login = '<span style="color: green;">'+data.login+'</span>';
				} else if(data.admin == 3) {
					var login = '<span style="color: orange;">[STREAMER] '+data.login+'</span>';
				} else {
					var login = data.login;
				}
			if(data.admin != 4) {
				var message = entities.encode(data.message);
				io.emit('message', { avatar: data.avatar, login: login, message: message });
			}
    });
[PHP] pobierz, plaintext 

Najlepiej zrób flood protection, czyli limit ile wiadomości może dany user posłać na czat w danym przedziale czasu, rozpoznając go np po IP.

IP może być zmienne.
Fake sockety mogą tez być wysyłane co 3 sekundy. Tu nie chodzi o spam a podszywanie się pod kogoś.

Jak chcesz bronić ludzi przed podszywaniem się, to po prostu zaimplementuj mechanizm sesji, ustaw timeout na tę sesję i dodaj logowanie do czatu. WebSocket działa na serwerze HTTP, w momencie utworzenia socketa, leci request HTTP. Wymuś logowanie na typ etapie, by utworzenie połączenia było możliwe tylko z loginem i hasłem, po utworzeniu socketa ustaw timeout po jakim HTTP ma być zamknięte, co zamknie również WS.