Jeg har implementeret (langsomt) noget lignende for en web-app ved hjælp af Autobahn og WAMP, det er tilhørende protokol og router. Jeg har i øjeblikket omkring fem forskellige tjenester (nogle skrevet i PHP, nogle i NodeJS) plus klienterne, der alle kommunikerer i realtid.
Det gode ved WAMP er, at det indkapsler både remote procedure calls (RPC) og publicer/abonner (PubSub) modeller til kommunikation.
Mit autentificeringsskema er lidt af en klud:På hver side af Laravel-webappen er der en tokenværdi, som er unik for brugeren og genereret ved log ind på Laravel-appen. Javascriptet bruger denne tokenværdi til at godkende, når klienten opretter forbindelse til WAMP-routeren - hvis det er et ugyldigt (eller forældet) token, afvises forbindelsen.
Hvad angår begrænsning af meddelelser til specifikke brugere eller grupper, ville en simpel måde at gøre det på være at indpakke den relevante JS-kode i en funktion, der kun kaldes (eller kun udsendes til klienten i bladeskabelonen), hvis brugeren har den relevante tilladelser.
Endelig er min applikation udelukkende til brug i vores firewall, så jeg har ikke undersøgt brugen af kryptering/dekryptering.