Я написал WebSocket сервер с токеном аутентификация, где клиент подключается как:
socket = new WebSocket("wss://websockets", ["hub", token] )
Он использует subprotocol для сжатия токена аутентификации в заголовках.
На стороне сервера я перехватываю этот ключ заголовка и авторизую запрос, который прекрасно работает - клиент подключается нормально и поддерживает соединение открытым.Если токен не указан, соединение отклоняется - отлично!
Так что в типичном случае использования: приложение чата , пользователь входит в систему и получает токен авторизации для открытия соединения.После открытия соединения клиент отправляет сообщение на сервер, а сервер отправляет это сообщение всем подключенным клиентам.
Итак, насколько я понимаю, открытие соединения с сервером и отправка на него сообщения безопасны. Что происходит, когда это сообщение передается всем подключенным клиентам? Мне не нужно беспокоиться об авторизации входящих сообщений (для клиента), поскольку клиент должен быть подключен и, следовательно, авторизован для получения этих сообщений.право?