Websocket security

[allgood]

sequência de ajustes:

• autentica websocket utilizando o jwt token
• separa notificações entre filas - websocket só transmite notificações das filas dos usuários
• utiliza o evento "ready" para indicar aos componentes que eles podem enviar eventos para subscrever salas

[sonarcloud[bot]]

Quality Gate passed

Issues
0 New issues
0 Accepted issues

Measures
0 Security Hotspots
No data about Coverage
0.0% Duplication on New Code

See analysis details on SonarCloud

[allgood]

@canove , tem algum problema com essa correção?

[canove]

Única coisa que vejo de errado é que além de colocar autenticação no web socket, ela também mexe na forma como os eventos são emitidos. O ideal é que a PR tenha apenas um propósito. Revertendo isso está ok

[allgood]

Única coisa que vejo de errado é que além de colocar autenticação no web socket, ela também mexe na forma como os eventos são emitidos. O ideal é que a PR tenha apenas um propósito. Revertendo isso está ok

O vazamento no websocket é tanto com relação à falta de autenticação quanto com relação ao envio de eventos a destinos que não são legítimos deles. Nos Whaticket SaaS isso era até mais sério porque uma empresa recebia os eventos da outra!

Mas entendi e vou transformar em dois PR diferentes.

[allgood]

Nos testes que fiz a autenticação do token deixa a conexão mais lenta de forma que o evento "connect" do frontend acaba sendo executado antes que o backend tenha atribuído os listeners e isso faz com que os eventos "join" emitidos pelo frontend não tenham efeito no backend. Por conta disso coloquei a emissão de um evento "ready" que o backend emite ao terminar de configurar os listeners e deve ser o gatilho para que o frontend inicie as emissões dos eventos "join"

[allgood]

@canove feito no PR #632

[stale[bot]]

This issue has been automatically marked as stale because it has not had recent activity. It will be closed if no further activity occurs. Thank you for your contributions.