Вы правы, теперь нельзя использовать заголовок аутентификации из-за дизайна API Javascript WebSocket. Более подробную информацию можно найти в этой теме: HTTP-заголовки в API-интерфейсах веб-интерфейсов
Однако тип аутентификации носителей позволяет использовать параметр запроса с именем «access_token»: http: // self-issued.info/docs/draft-ietf-oauth-v2-bearer.html#query-param Этот метод совместим с подключением к сети.