Безопасность аутентификации WebSocket

Я пытаюсь аутентифицировать клиента на моем безопасном сервере WebSocket (wss) для зарегистрированного участника.

После того, как участник подключен к веб-серверу, я записываю в базу данных уникальный токен (связанный с участником), который я отображал в скрытом поле на странице, инициирующей подключение к серверу веб-сокетов.

Затем токен отправляется на сервер WebSocket, который аутентифицирует учетную запись с помощью токена.

Я действительно не эксперт по безопасности, и я хотел узнать ваше мнение о безопасности моей аутентификации.

Есть ли какие-либо риски (кроме угона файлов cookie)? Есть ли лучший способ продолжить, учитывая, что WebSocket не предписывает какой-либо конкретный способ, которым серверы могут аутентифицировать клиентов во время рукопожатия WebSocket.

Я использую Ratchet WebSocket.

Ответы на вопрос(2)

Ваш ответ на вопрос