É possível proteger as APIs do WebSocket com o OAuth 2.0?

Estou implementando um provedor OAuth para proteger diferentes APIs baseadas na web. A maior dor de cabeça está me dando a garantia de WebSockets através do OAuth.

Pode ser feito completamente seguro em um cliente que está definido em um navegador?

Quais são os riscos se estiver em um navegador comparado a um aplicativo da Web com um servidor?

Quero usar o OAuth de duas etapas para restringir as conexões ao websocket, portanto, somente os clientes registrados podem adquirir uma conexão do WebSocket com a API sem serem recusados. Como uma conexão WebSocket é sempre (!) Estabelecida no lado do cliente (do Navegador), é possível proteger o accessToken de ser roubado e mal utilizado?
Nesse ponto, a única coisa que define um cliente baseado em navegador a partir de um aplicativo de cliente de aplicativo da Web é a URL.

Se os aplicativos baseados em navegador não forem seguros, eu poderia conviver com isso, mas quero ter certeza de que pelo menos os aplicativos baseados na Web tenham uma maneira segura de acessar o websocket.

Mas nesse ponto eu me pergunto se o accessToken é necessário, porque eu poderia usar o URI de origem como mecanismo seguro.

questionAnswers(2)

yourAnswerToTheQuestion