通过socket.io授权laravel护照用于广播频道

时间:2018-04-30 09:21:14

标签: php node.js sockets laravel-5 socket.io

我使用laravel 5.3 +护照进行授权,Laravel是我的后端API,restful

前端是用angular.js编写的,它与API通过休息请求进行通信。

对于实时通知,我已在laravel redis广播事件+ socket.ioangular.js.用于套接字服务器和套接字客户端>

我想授权这些活动,并且我已经做到了尽可能远:

BroadcastServiceProvider:

public function boot()
{
   Broadcast::routes(['middleware' => ['auth:api']]);
   Broadcast::channel('App.User.*', function ($user, $userId) 
   {
     return (int) $user->id === (int) $userId;
   });

   Broadcast::channel('notifs.*', function ($user, $userId) {
     return $user->id === (int) $userId;
   });
}

这是我的socket.js代码,它运行我的套接字服务器:

var app   = require('express')();
var http  = require('http').Server(app);
var io    = require('socket.io')(http);
var Redis = require('ioredis');
var redis = new Redis();

redis.psubscribe('*', function(err, count) {});

redis.on('pmessage', function(subscribed, channel, message) {
    console.log(channel);
    message = JSON.parse(message);
    io.emit(channel + ':' + message.event, message.data);
});

http.listen(3000, function () {
    console.log('Listening on Port 3000');
});

redis.on("error", function (err) {
    console.log(err);
});

问题是我不知道如何在套接字服务器中验证这些广播事件,以及如何在angular.js (SPA)中授权用户收听这些事件。

我很感激任何帮助。

1 个答案:

答案 0 :(得分:1)

我绝对要看看socketio-auth

  

此模块提供了在socket.io中实现身份验证的钩子   不使用查询字符串发送凭据,这不是一件好事   安全实践。

我最近采用的另一种方法是使用JWT令牌(njwt)进行简单的基于令牌的身份验证。

我不想重新创建在Node.js中检查用户凭据的身份验证代码。 (在我的情况下,甚至可以连接到数据库)。相反,我让使用套接字的PHP应用程序利用其已经建立的身份验证系统。使用套接字连接请求传递已签名的令牌。

您的node.JS代码可能类似于...... 

primus.on('connection', function (spark) {

    logger.debug('primus event connection.  spark id: ' + spark.id);

    spark.on('data', function(data) {

        var action = data.action;

        njwt.verify(data.token, JWT_SECRET, function(err, verifiedJwt) {
            if (err) {
                logger.warn('Bad JWT Token! ' + spark.id + ' Error: ' + err);
                spark.user = {id:null, is_authed: false, is_admin: false, application_ini: null};
                spark.end('Bad Token Request');
                return; //->
            }

            spark.user = {  'id': verifiedJwt.body['user_id'],
                            'is_authed': verifiedJwt.body['is_authed'],
                            'application_ini': verifiedJwt.body['application_ini'],
                            'is_admin': verifiedJwt.body['is_admin']};

            sockoasRooms.connect(spark.id, spark.user.application_ini, spark.user.id); 


            switch (action) {
            ...

然后在PHP方面,你需要一些code for generating the JWT tokens,但使用非常简单。类似的东西:

<?php
$tokenPayload = [   'user_id'           => ($this->currentUser) ? $this->currentUser->getId() : 0,
                    'is_authed'         => ($this->currentUser) ? true : false,
                    'application_ini'   => (string) APPLICATION_INI,
                    'is_admin'          => (bool) ($this->currentUser) ? $this->currentUser->isAdministrator() : false,
                    'now'               => time()
];
$jwtToken = \OAS_JWT::encode($tokenPayload, SOCK_OAS_JWT_KEY);

?>


$(document).ready(function() {

    primus = Primus.connect('ws://<?=SOCK_OAS_IP?>:<?=SOCK_OAS_PORT?>/_admin');

    primus.on('open', function () {
        showConnected();
        // Send request to subscribe
        primus.write({action: 'dashboard-dump', token: '<?=$jwtToken?>'});
        consoleWrite('Connected to dashboard.');
    });

您可以评估时间组件以避免重播攻击。无论如何,听起来这种方法可能会满足您的需求。

非主题但我也建议您查看primus。它充当了实时框架的通用包装器&#34;。这允许您以某种方式抽象事物,这样您就可以毫不费力地更换套接字库。可能比您使用的更低级别(engine.IO)。

相关问题
最新问题