Jag har implementerat (långsamt) något liknande för en webbapp med Autobahn och WAMP, det är associerat protokoll och router. Jag har för närvarande cirka fem olika tjänster (några skrivna i PHP, andra i NodeJS) plus att klienterna alla kommunicerar i realtid.
Det fina med WAMP är att det kapslar in både fjärrproceduranrop (RPC) och publicera/prenumerera (PubSub) modeller för kommunikation.
Mitt autentiseringsschema är lite av en kladdig:på varje sida i Laravel-webbappen finns ett tokenvärde som är unikt för användaren och genereras vid inloggning till Laravel-appen. Javascript använder detta tokenvärde för att autentisera när klienten ansluter till WAMP-routern - om det är en ogiltig (eller inaktuell) token nekas anslutningen.
När det gäller att begränsa meddelanden till specifika användare eller grupper, skulle ett enkelt sätt att göra det vara att linda in lämplig JS-kod i en funktion som bara anropas (eller bara matas ut till klienten i bladmallen) om användaren har rätt behörigheter.
Slutligen är min applikation enbart för användning i vår brandvägg, så jag har inte undersökt hur jag använder kryptering/dekryptering.