Михайло Побережний

Начните с прочтения https://jwt.io/

Когда вы поймете что такое jwt, у вас отпаадет вопрос: это должно быть много разных токенов для 1 пользователя, или 1 но продлевать.

По сути вы почти всё делаете правильно, но вот это:

через _id(уникальный) пользователя записал в базу и он по сути вечный,

Самый простой способ обратитесь к : https://github.com/auth0/node-jsonwebtoken

В тэгах вижу mongoose. Пара советов по работе с ним: попробуйте поиграться с ограничением полей через find().select(/* объект с полями */). По умолчанию mongoose возвращает коллекцию своих обёрток над JS-объектами, которые довольно тяжелые. Получить POJO можно с помощью find().lean(). Чтобы не ждать, пока вам вернётся вся коллекция из 1500 записей, можно воспользоваться курсорами со стримами и работать с данными пачками.

Но тут действительно сложно сказать в чём проблема - железо действительно не плохое, но проблема скорее всего в IO цикле, как это обычно и бывает, в зависимости от количества узлов между клиентом, сервером и сервером БД. Может у вас прокси перед сервером стоит и не тянет под нагрузкой, может сервер перегружен запросами и вы ждёте в очереди, может к БД много коннектов и вы, опять же, ждёте.

npm i -g apidoc

Попробуй renderjs.io - пока бесплатный, дальше будет значительно дешевле чем пререндер.

в php.ini найдите extension=php_interbase.dll и поставьте #

#extension=php_interbase.dll

new Audio('sample.mp3').play()

В двух словах: не нужно пытаться передавать io в качестве параметра.
Его можно сделать "глобальным" на уровне app следующим образом.
К примеру, после
var io = require('socket.io')(server);
написать
app.set('io', io);
после чего можно в любом обработчике получить его через
var io = req.app.get('io');

> а остальные на ангуляр?

вообще не понял, при чем тут ангуляр, но не суть...

Вот часть реального конфига:

server {
  listen  80;
  server_name example.com;

  location /all.css {
    root /srv/vek-node/static;
  }
  location /all.css.map {
    root /srv/vek-node/static;
  }
  location /img {
    root /srv/vek-node/static;
  }
  location /vendors {
    root /srv/vek-node/static;
  }
  
  location /media {
    alias /var/www/vek_staging/media;
  }

  location /catalog/metal {
    rewrite ^ http://metal.example.com$request_uri? permanent;
  }

  location /admin {
      uwsgi_read_timeout 600;
      client_max_body_size 30m;
      include /etc/nginx/uwsgi_params;
      uwsgi_pass unix:/run/uwsgi/app/vek_staging/socket;
  }

  location /static {
    alias /var/www/vek_staging/static;
  }

  location / {
    include /etc/nginx/proxy_params;
    proxy_read_timeout 120;
    proxy_pass http://127.0.0.1:3331;
  }
}

1) Первые четыре директивы location задают раздачу контента из папки static, при этом uri не содержит /static/. Здесь переопределяется root.
2) Пятая директива location задают раздачу контента из папки media, при этом uri начинается с /media/. Здесь используется директива alias.
3) Шестой location - все что начинается с /catalog/somesubpart - редиректим на поддомен, с таким же uri.
4) location /admin - передаем запрос uwsgi-приложению (Django)
5) location / - все остальное проксируем на 127.0.0.1:3331 (Node.js)

Пример довольно показательный, используются почти все популярные фишки.

UPD: первые четыре директивы location определяются довольно тупо - это плата за их распознавание без префикса. Но в реале это ничем не грозит - я генерирую этот конфиг галпом, конкретно gulp-nunjucks. Реальный конфиг примерно в 2 раза больше.

Глобально в вашем случае - нет разницы между выводом комментрия к посту всем кто на странице и выводом сообщения в чате всем кто в нем сейчас состоит. Поэтому примеры с чатами вполне подойдут.
А логика примерно следущаяя:
1) На сервере создать сокет сервер, который будет слушать по некому урлу:порту

var express = require('express');
var app = express();
var io = require('socket.io')(http);
 http = require('http').Server(app);
 http.listen(yourPort, yourUrl, function () {
        console.log('App listening at http://%s:%s', yourUrl, yourPort);
        io.on('connection', function(socket){...}

2) На клиенте подключится к этому урлу:порту

socket = io.connect(yourUrl:yourPort, {secure: true, forceNew: true});

3) На клиенте слушать некое событие из сервера. Например назовем его onCommentAdd

socket.on('onCommentAdd', function(msg) {
        yourFuncToAddCommentInHTMLDOM(msg)
 });

Где на месте msg будет вся необходимая информация с сервера о комментарии

4) На сервере когда вы выполнили сохранение в базу комментария вызовите emit метод екземпляра вашего io c нужными параметрами. Примерно так

Socket.emit('onCommentAdd', {author: "Vova", date: "1454576067", "text": "Azazazaza lalka" });

В принципе это все, если всё сделаете правильно, то на клиенте получите новый коммент.
Надеюсь, это поможет

Экранируйте получаемые от клиента данные. Всегда и везде, где вы их выводите, не только в чате.

Если коротко, то ошибка закралась вот тут:
В асинхронном сервере в единый момент времени обрабатывается столько запросов, сколько есть воркеров

Представьте себе, что у вас на сервер приходит запрос, связанный с выборкой данных из БД.
Он отрабатывает, предположим, за 150 мс, из которых 130 это работа с базой данных.

В случае с PHP у вас воркер будет заблокирован эти 150 мс для обработки других запросов.
В случае с асинхронным сервером, он, пока запрос 1 ждет данные от БД в течение 130 мс, сможет принять и начать обрабатывать другие запросы. Предположим, что у нас один PHP-воркер. В этом случае таких запросов, как из примера, он сможет обработать семь штук за секунду.

Асинхронному же, допустим, прилетят 20 запросов. Он обработает каждый до взаимодействия с БД, допустим за 10 мс, полетят 20 запросов к БД, пройдут, допустим, за 500 мс, и сервер сформирует ответ. И это все практически параллельно. Итого меньше чем за секунду мы таким образом обработаем 20 запросов.

Можно, конечно, увеличить пул FastCGI, но оверхед при обработке запроса каждым воркером будет несоизмеримо выше, чем при обработке асинхронным сервером.