Estoy tratando de autenticar un cliente en mi servidor seguro WebSocket (wss) para el área de miembros registrados.

Una vez que un miembro está conectado al servidor web, registro, en una base de datos, un token único (asociado al miembro) que mostré en un campo oculto en la página que inicia la conexión al servidor Web Socket.

Luego, el token se envía al servidor WebSocket que autentica la cuenta utilizando el token.

Realmente no soy un experto en seguridad, y quería su opinión sobre la seguridad de mi autenticación.

¿Hay algún riesgo (excepto el secuestro de cookies)? ¿Hay alguna manera mejor de proceder teniendo en cuenta que WebSocket no prescribe ninguna forma particular en que los servidores puedan autenticar a los clientes durante el protocolo de enlace WebSocket?

Yo uso Ratchet WebSocket.