Я реализую OAuth-провайдер для защиты различных веб-интерфейсов API. Самая большая головная боль дает мне защиту WebSockets через OAuth.

Может ли это быть сделано полностью безопасно на клиенте, который установлен в браузере?

Каковы риски, если он находится в браузере по сравнению с веб-приложением с сервером?

Я хочу использовать двухстороннюю OAuth для ограничения соединений с веб-сокетом, поэтому только зарегистрированные клиенты могут получить соединение WebSocket с API без получения отказа. Поскольку соединение WebSocket всегда (!) Устанавливается на стороне клиента (из браузера), возможно ли защитить accessToken от кражи и неправильного использования?
В этот момент единственная вещь, которая устанавливает клиент на основе браузера из клиентского приложения веб-приложения, - это URL.

Если браузерные приложения небезопасны, я бы с этим смирился, но я хочу убедиться, что по крайней мере веб-приложения имеют безопасный способ доступа к веб-сокету.

Но в этот момент я спрашиваю себя, нужен ли вообще accessToken, потому что я мог бы просто использовать origin-URI как единственный безопасный механизм.