Как решить проблему авторизации в Socket.io?

Question

[vetsmen]

У меня написана авторизация на express (через passport.js), сокеты получают авторизацию через passport.socketio при вызове io.use:

io.use(passportSocketIo.authorize({
	cookieParser: cookieParser, 
	key:          'express.sid',
	secret:       'keyboard cat', 
	store:        sessionStore,      
}));

Проблема вот в чем: когда я нахожусь в двух вкладках и выхожу из сайта в одной, то в другой продолжает работать сокет и в request (socket.request.user.logged_in) пишет true, поэтому все действия выполняются так, как будто пользователь все еще авторизован.
Я хочу сделать так: при логауте вызвать метод passportSocketIo.authorize, чтобы он переопределил socket.request, но как это сделать? И вообще, какие есть мысли по решению данной проблемы? Спасибо!

Answer 1

[Евгений Одинец]

Когда вы подключаетесь в соседней вкладке, у вас открывается новое соединение с авторизацией.

Как вариант:
1. Не пускать пользователя другой раз. При заходе в новом окне либо разрывать старое соединение либо сообщать о том что он уже подключен.
2. Отправить пользователю запрос о том что он разлогинился, и соответственно разлогинить его во всех его соккетах.

Comments

[vetsmen]

Проблема вот в чем: как его разлогинить во всех сокетах со стороны сервера? Я проверяю, авторизован ли он или нет, через socket.request (храню там значение авторизации), при логауте я хочу менять значение socket.request.user во всех соединениях, но как мне это сделать? У меня нет доступа во время дисконнекта к socket.request, потому что разлогиниваюсь через express.

[Даша Циклаури]

vetsmen: тебе нужно хранить словарь, где ключ - это логин, а значения - это список указателей на открытые сокеты, как только один из сокетов инициирует логаут, ты пробегаешь по списку и логаутишь все соединения.

[vetsmen]

Даша Циклаури: мне не нужно логаутить соединения, мне нужно в реал-тайме дать понять какому-либо сокет соединению, что пользователь уже вышел и не нужно давать ему доступ в авторизованным данным. Поэтому, как я понял, хранить значение авторизации в socket.request нецелесообразно.
Что первое пришло в голову - при каких-либо авторизованных действиях брать из сокета значение session и смотреть его наличие в sessionStore, если оно там есть - гуд, ты красавчик, если его нет - будь добр, авторизуйся. Но не будет ли это накладным и ресурсозатрантым при каждом запросе сокета на действие, которое требует авторизации, выполнять действия с sessionStore?

[Евгений Одинец]

vetsmen: Создайте массив с соккетами, куда вы будете ложить объекты при коннекте и убирать их оттуда при дисконекте. При разлогинивании проходитесь по всем объектам массива и вызываете метод disconnect() для нужных сокетов. Потом удаляете сессию или что у вас там.

[vetsmen]

Евгений Одинец: при разлогинивании мне не нужно полностью делать disconnect сокетов, ибо их работа требуется тогда, когда даже пользователь не авторизован. Поэтому этот способ не очень подходит. Мне нужно лишь сделать в некоторых socket.on() проверку на то, что пользователь авторизован/не авторизован.

[Даша Циклаури]

vetsmen: тогда ещё проще: хранишь ключ-значение. Ключ-логин пользователя, значение-объект хранящий флаг авторизации и кол-во сокетных соединений. При дисконнекте: уменьшаешь кол-во на 1, если кол-во сокетных соединений 0, то убираешь пользователя из словаря, если нет, то выставляешь флаг в актуальное значение. При каждой операции проверяешь словарь и флаг авторизации для пользователя.

[Евгений Одинец]

vetsmen: Ну так не делайте дисконект, удаляйте сесси или что вам там надо, потом отправляйте запрос на сторону клиента всем соединениям о том что пользователь разлогинет и делайте что душе угодно)