Можно ли защитить API WebSocket с помощью OAuth 2.0?

Я реализую поставщика OAuth для защиты различных веб--API. Больше всего головной боли дает мне защита WebSockets через OAuth.

Можно ли сделать это полностью безопасным в клиенте, установленном в браузере?

Каковы риски, если это в браузере по сравнению с веб-приложением с сервером?

Я хочу использовать двухсторонний OAuth -для ограничения подключений к веб-сокету, чтобы только зарегистрированные клиенты могли получить подключение через веб-сокет к API без отказа. Поскольку соединение WebSocket всегда (! )установлен на стороне клиента -(из браузера ), можно ли защитить accessToken от кражи и неправомерного использования?
В этот момент единственное, что отличает клиент на основе браузера -от клиента веб-приложения -, — это URL-адрес.

Если приложения на основе браузера -небезопасны, я мог бы с этим смириться, но я хочу убедиться, что по крайней мере веб-приложения -имеют безопасный способ доступа к веб-сокету.

Но в этот момент я спрашиваю себя, нужен ли вообще accessToken, потому что тогда я мог бы просто использовать исходный -URI как единственный безопасный механизм.