Ich implementiere einen OAuth-Provider, um verschiedene webbasierte APIs zu sichern. Am meisten Kopfzerbrechen bereitet mir die Sicherung von WebSockets über OAuth.

Kann dies in einem Client, der in einem Browser eingestellt ist, vollständig sicher erfolgen?

Was sind die Risiken, wenn es sich in einem Browser im Vergleich zu einer Webanwendung mit einem Server befindet?

Ich möchte zweibeiniges OAuth verwenden, um die Verbindungen zum Websocket einzuschränken, sodass nur registrierte Clients eine WebSocket-Verbindung zur API erhalten können, ohne dass dies abgelehnt wird. Ist es möglich, den accessToken vor Diebstahl und Missbrauch zu schützen, da auf Clientseite immer (!) Eine WebSocket-Verbindung hergestellt wird (über den Browser)?
Zu diesem Zeitpunkt ist die URL das einzige, was einen browserbasierten Client aus einem Webanwendungs-Client-Appart heraus festlegt.

Wenn browserbasierte Anwendungen unsicher sind, könnte ich damit leben, aber ich möchte sicherstellen, dass zumindest die webbasierten Anwendungen eine sichere Möglichkeit haben, auf das Websocket zuzugreifen.

Aber an diesem Punkt frage ich mich, ob das accessToken überhaupt benötigt wird, weil ich dann einfach die origin-URI als einzigen sicheren Mechanismus verwenden könnte.