Witam. Niedługo chce się zabrać za czat taki jak ma facebook (prywatne wiadomości), ale jeszcze nie wiem jakiej technologii użyć do tego. Kiedyś szperałem trochę na ten temat w necie, i chyba totalną podstawą są WebSockety. Znalazłem przykładowy kod totalnie podstawowego czatu do wysyłania wiadomości między użytkownikami i wydało mi się to bardzo proste, ale z czasem dotarły do mnie kwestie bezpieczeństwa i samej obsługi tego po stronie serwera. Słyszałem o jakimś ID sesji, o tym żeby nikt się nie podszył pod kogoś, by wiadomości trafiały tylko do konkretnej osoby, i dodatkowo obsługa reconnect'ów oraz przypadek gdy user otworzy sobie czat w kilku zakładkach w tej samej przeglądarce i pewnie obsługe do tego trzeba by robić... Pewnie są jeszcze inne zdarzenia o których obecnie nie mam pojęcia.
Miał już ktoś do czynienia z takimi kwestiami bezpieczeństwa i obsługi po stronie serwera? O czym muszę pamiętać, na co zwrócić uwagę przy tworzeniu takiego czatu? I przede wszystkim, jakich technologii użyć do tego? Co do bazy danych, to raczej MongoDB.
Jak dużą przewagę przy takim czacie ma socket.io nad czystymi websocketami? Bo wydajnościowo pewnie lepiej by było napisać to sobie samemu w websocketach.
głupie pytanie czy serio nikt nie robił czegoś tego typu? :)
Socket.IO is NOT a WebSocket implementation. Although Socket.IO indeed uses WebSocket as a transport when possible, it adds some metadata to each packet: the packet type, the namespace and the ack id when a message acknowledgement is needed. That is why a WebSocket client will not be able to successfully connect to a Socket.IO server, and a Socket.IO client will not be able to connect to a WebSocket server either. Please see the protocol specification here.
Jak widać Socket.IO jest abstrakcją na WebSockety. Jeżeli jest prostszy w użyciu niż sklecenie własnej porządnej implementacji to bym go raczej użył (gdybym pisał w JSie). Nie spodziewałbym się dużej różnicy w wydajności, no chyba, że coś mocno zwalili.
WebSockety są mało używane, bo zysk z ich użycia widać głównie przy usługach typu czat, tzn przy wielu małych wiadomościach o mocno nieprzewidywalnej częstości występowania, które trzeba dostać jak najszybciej (najlepiej poniżej sekundy). Ile aplikacji webowych ma funkcjonalność czatu? Stawiam, że mało, bo mało gdzie ma to sens.
Z tego co gdzieś czytałem FB wykorzystuję technikę HTTP Long Polling. W skrócie - przeglądarka wysyła żądanie do serwera, ale nie odbiera natychmiast całej odpowiedzi. Zamiast tego "nasłuchuje" strumienia zdarzeń. Do "nasłuchiwania" wykorzystuje się EventSource API, który opakowuje standard Server-Sent Events (SSE). Łatwo znajdziesz pełno artykułów na ten temat w sieci.
Wejdź na swoje konto na FB i podejrzyj w konsoli żądania jakie wysyła przeglądarka. Widać, że regularnie pojawia się żądanie GET na adres https://3-edge-chat.facebook.com/....
U mnie jedno takie żądanie trwa ~50 sek. Mam podejrzenie graniczące z pewnością, że to jest właśnie long polling :)
Jest jeszcze "ws" https://www.npmjs.com/package/ws
Z moich osobistych doświadczeń, zaczynałem od najpopularniejszego socket.io, potem powyższy "ws", potem wbudowane w node.js https://nodejs.org/api/net.html#net_class_net_socket
Ok, wziąłem się za to socket.io, i mam teraz pytanie odnośnie zabezpieczeń, autoryzacji. Na co muszę zwracać uwagę w kwestii bezpieczeństwa podczas pisania takiego czatu? Podejrzewam, że dane w requeście, który inicjuje połączenie websocket z serwerem nodejs, da się łatwo podmienić, a więc musiałbym jakoś sprawdzać czy user wysyłający wiadomość, nie wstawił w request danych innego usera - przez co końcowo nadawcą byłby niewłaściwy użytkownik. Jak to zrobić? Wszyscy mówią o tokenie, nawet tu na 4programmers sprawdziłem i wysyłany jest tylko jeden parametr podczas inicjalizowania połączenia websocket, i jest to parametr "token" (jest straaaasznie długi) - podejrzewam, że najlepiej taki token utworzyć w backendzie (php) z danych zalogowanego na stronie użytkownika (który potem ma wysyłać wiadomości do innych użytkowników), ewentualnie dodać sól - i jak ten token ostatecznie walidować po stronie nodejs? Podczas inicjalizacji czatu raz pobierać dane nadawcy z bazy, tworzyć token w ten sam sposób i porównywać go, czy jest jakiś bardziej optymalny sposób?
Oprócz możliwości podszycia się pod innego usera jako nadawca (poprzez spreparowanie danych requesta), są jeszcze jakieś inne możliwości dla "atakującego"?
A i może ta informacja przyda się: Właściwie ten czat to będzie coś jak te prywatne wiadomości na facebooku - czyli że będzie można pisać tylko z jedną osobą (ale kilka okienek może być otwartych w tym samym czasie z innymi rozmówcami)