Я использую веб-сокеты Spring с SockJS с протоколом STOMP, а для авторизации я использую Json Web Token (JWT). В веб-клиенте я использую клиентскую библиотеку SockJS (https://github.com/sockjs/sockjs-client/blob/master/README.md).
Я проверяю токен JWT, когда веб-приложение подключается к URL-адресу SockJS во время рукопожатия; Я отправляю токен как параметр запроса. На сервере я отключил CSFR для запросов веб-сокетов, включая запросы STOMP. Нужно ли проверять токен JWT после рукопожатия SockJS, то есть для запросов STOMP? Или это безопасно просто проверить токен во время рукопожатия?