Безопасность аутентификации WebSocket
Я пытаюсь аутентифицировать клиента на моем безопасном сервере WebSocket (wss) для зарегистрированного участника.
После того, как участник подключен к веб-серверу, я записываю в базу данных уникальный токен (связанный с участником), который я отображал в скрытом поле на странице, инициирующей подключение к серверу веб-сокетов.
Затем токен отправляется на сервер WebSocket, который аутентифицирует учетную запись с помощью токена.
Я действительно не эксперт по безопасности, и я хотел узнать ваше мнение о безопасности моей аутентификации.
Есть ли какие-либо риски (кроме угона файлов cookie)? Есть ли лучший способ продолжить, учитывая, что WebSocket не предписывает какой-либо конкретный способ, которым серверы могут аутентифицировать клиентов во время рукопожатия WebSocket.
Я использую Ratchet WebSocket.