Eu estava pensando como seria um processo de autenticação em um servidor Websocket.
Pretendo usar a API do Javascript para Websocket. Porém eu gostaria de ter um acesso mais restrito e controlado em relação às aplicações que vão ter conexão a esse servidor. O problema é que, uma vez que o Websocket é uma camada à parte da aplicação (ou seja, o Websocket não tem acesso à sessão da aplicação), ele “não sabe” que se o usuário autenticado está ou não autenticado na outra camada.
Eu gostaria de saber quais são os meios para se restringir um acesso a um Websocket.
Por exemplo: Quero que, em uma aplicação, onde eu notifico o usuário o status da sua compra, ele tenha acesso a essa informação em tempo real através do Websocket. Só que eu preciso que esse possa ser “confirmado” como sendo o mesmo que está autenticado na minha aplicação.
Existe alguma técnica ou alguma recomendação específica em relação à autenticações em servidores Websocket?
Pensei em implementar algum tipo de token. Seria uma boa opção?