Что возможные пути состоят в том, чтобы аутентифицировать пользователя, когда websocket соединение используется?
Сценарий в качестве примера: Веб-многопользовательское приложение чата посредством зашифрованного websocket соединения. Как я могу удостовериться (или гарантия), что каждое соединение в этом приложении принадлежит определенному аутентифицируемому пользователю, и "не может быть" использован ложным пользовательским олицетворением во время соединения.
SSL / TLS может использоваться для аутентификации как клиента, так и сервера с использованием сертификатов X.509. Это зависит от платформы веб-приложений, которую вы используете. В apache можно проверить действительность переменной среды SSL_CLIENT_CERT по списку действующих сертификатов. Это не потребует использования полной PKI и не потребует от вас покупки сертификатов для каждого клиента. Хотя я рекомендую использовать CA для поддержки SSL-сертификата вашего сервера.