服务器发送事件:识别重新连接客户端的最佳实践
Server sent event: best practice for identifying reconnecting clients
我正在创建一个“数字 queue 门票”应用程序,人们可以在其中主持 queue 和其他人排队。如果你排队,你基本上会看到当前正在服务的号码、排队人数、预计到达时间等。它是 web-based,我决定使用 SSE 来推送更改(例如,当当前正在服务的号码发生更改时)到该特定 queue.
中的每个人
我需要一种方法来 map/identify 每个客户端,这样如果他们断开连接一段时间然后重新连接,他们仍然会保持他们的位置。我知道如果出现错误,浏览器或 SSE 客户端将自动尝试重新连接。通常会延迟几秒钟,具体取决于浏览器。此外,数据流从断开连接的点继续,因此使用 Last-Event-Id.
不会丢失任何消息
但是,例如,如果用户错误地退出了 safari,重新打开它并返回到相同的 URL,将建立一个新的连接,即它不会“重新连接”。
我考虑过使用令牌或 cookie 来完成此操作。但是,SSE 标准不支持发送 headers(或 POST 数据)。仅获取数据和 cookie。我可以传递一个令牌作为查询参数。这里有一些我读过的信息:
https://community.apigee.com/questions/28794/best-practices-for-passing-an-access-token-without.html
https://www.rfc-editor.org/rfc/rfc6750#section-2.3
人们讨论了与此相关的安全问题,但我认为,由于人们匿名排队,而且令牌仅用于识别重新连接的客户端,因此这不会成为问题。另外,我负责后端和前端。
使用 cookie 也可能有效,但我对它们的工作原理一无所知。我假设我需要一个持久性 cookie 来识别正在“重新连接”的客户端?如果不是,也许我应该改用 WebSockets 或轮询?。我选择SSE的原因是我只需要单向通信。
我对此很陌生,所以非常感谢任何提示!几天来一直在阅读我能得到的所有东西,但到目前为止还没有找到好的解决方案。也许还有其他方法可以完成我想要的?
我肯定会选择饼干。我没有在 Go 中尝试过,但是这个 link shows how to set and receive cookies.
缺点是用户可以通过删除 cookie 来绕过它(他们可能有这样做的动机,所以他们可以跳过 queue?),并且(至少在欧盟)必须显示 "we use cookies" 通知。您提到了用户关闭浏览器的情况,因此 session cookie 是不够的,您需要使用具有过期时间的 cookie。
第二个选择是尝试 "fingerprint" 用户,通过组合 user-agent、IP 地址,也许还有一些其他 headers。不过,这是不可靠的,尤其是当用户共享代理、VPN 等时。(有人仍然可以绕过它,例如切换浏览器,或使用允许更改的插件 user-agent。)
在SSE消息中设置id,浏览器会在重新连接时发送最后一个事件id头。
此外,它的服务器负责跟踪由于客户端断开连接而导致哪些消息已被传递或丢失。
https://www.html5rocks.com/en/tutorials/eventsource/basics/#toc-lastevent-id
我正在创建一个“数字 queue 门票”应用程序,人们可以在其中主持 queue 和其他人排队。如果你排队,你基本上会看到当前正在服务的号码、排队人数、预计到达时间等。它是 web-based,我决定使用 SSE 来推送更改(例如,当当前正在服务的号码发生更改时)到该特定 queue.
中的每个人我需要一种方法来 map/identify 每个客户端,这样如果他们断开连接一段时间然后重新连接,他们仍然会保持他们的位置。我知道如果出现错误,浏览器或 SSE 客户端将自动尝试重新连接。通常会延迟几秒钟,具体取决于浏览器。此外,数据流从断开连接的点继续,因此使用 Last-Event-Id.
不会丢失任何消息但是,例如,如果用户错误地退出了 safari,重新打开它并返回到相同的 URL,将建立一个新的连接,即它不会“重新连接”。
我考虑过使用令牌或 cookie 来完成此操作。但是,SSE 标准不支持发送 headers(或 POST 数据)。仅获取数据和 cookie。我可以传递一个令牌作为查询参数。这里有一些我读过的信息:
https://community.apigee.com/questions/28794/best-practices-for-passing-an-access-token-without.html
https://www.rfc-editor.org/rfc/rfc6750#section-2.3
人们讨论了与此相关的安全问题,但我认为,由于人们匿名排队,而且令牌仅用于识别重新连接的客户端,因此这不会成为问题。另外,我负责后端和前端。
使用 cookie 也可能有效,但我对它们的工作原理一无所知。我假设我需要一个持久性 cookie 来识别正在“重新连接”的客户端?如果不是,也许我应该改用 WebSockets 或轮询?。我选择SSE的原因是我只需要单向通信。
我对此很陌生,所以非常感谢任何提示!几天来一直在阅读我能得到的所有东西,但到目前为止还没有找到好的解决方案。也许还有其他方法可以完成我想要的?
我肯定会选择饼干。我没有在 Go 中尝试过,但是这个 link shows how to set and receive cookies.
缺点是用户可以通过删除 cookie 来绕过它(他们可能有这样做的动机,所以他们可以跳过 queue?),并且(至少在欧盟)必须显示 "we use cookies" 通知。您提到了用户关闭浏览器的情况,因此 session cookie 是不够的,您需要使用具有过期时间的 cookie。
第二个选择是尝试 "fingerprint" 用户,通过组合 user-agent、IP 地址,也许还有一些其他 headers。不过,这是不可靠的,尤其是当用户共享代理、VPN 等时。(有人仍然可以绕过它,例如切换浏览器,或使用允许更改的插件 user-agent。)
在SSE消息中设置id,浏览器会在重新连接时发送最后一个事件id头。 此外,它的服务器负责跟踪由于客户端断开连接而导致哪些消息已被传递或丢失。
https://www.html5rocks.com/en/tutorials/eventsource/basics/#toc-lastevent-id