Можно ли защитить API WebSocket с помощью OAuth 2.0?
Я реализую OAuth-провайдер для защиты различных веб-интерфейсов API. Самая большая головная боль дает мне защиту WebSockets через OAuth.
Может ли это быть сделано полностью безопасно на клиенте, который установлен в браузере?
Каковы риски, если он находится в браузере по сравнению с веб-приложением с сервером?
Я хочу использовать двухстороннюю OAuth для ограничения соединений с веб-сокетом, поэтому только зарегистрированные клиенты могут получить соединение WebSocket с API без получения отказа. Поскольку соединение WebSocket всегда (!) Устанавливается на стороне клиента (из браузера), возможно ли защитить accessToken от кражи и неправильного использования?
В этот момент единственная вещь, которая устанавливает клиент на основе браузера из клиентского приложения веб-приложения, - это URL.
Если браузерные приложения небезопасны, я бы с этим смирился, но я хочу убедиться, что по крайней мере веб-приложения имеют безопасный способ доступа к веб-сокету.
Но в этот момент я спрашиваю себя, нужен ли вообще accessToken, потому что я мог бы просто использовать origin-URI как единственный безопасный механизм.