Estoy usando una conexión WebSocket segura ( wss://... ) para la transferencia de datos hacia y desde una aplicación de una sola página.
Una vez que un cliente se haya autenticado, debería pasar algún tipo de token de autenticación con cada mensaje como lo haría con una API REST típica (algo como esto )? ¿O es seguro asumir la integridad de la conexión mientras está activa?
Un WebSocket es una conexión persistente, a diferencia de una llamada REST. Si ha configurado una conexión segura, la autenticación ocurre como parte del protocolo de enlace, por lo que es probable que el envío de un token de autenticación con cada mensaje sea una sobrecarga innecesaria.
Dicho esto, el envío de un token de autenticación en mensajes específicos puede ser útil para la administración de la sesión. Por ejemplo, después de establecer la conexión, el servidor podría pasar al cliente una clave de token / autenticación para esa sesión. Si el cliente pierde la conexión y luego logra reconectarse, el token se puede usar para verificar si el cliente es el mismo.
Necesitará autenticación si desea asegurarse de que la persona que llama a su API REST sea la misma que la del cliente websocket, ya que están bajo conexiones TLS separadas.
No es necesario que realice la autenticación para la comunicación de una única conexión websocket, ya que se encuentra bajo una única conexión TLS, por lo que la integridad de los datos está garantizada por TLS.
Lea otras preguntas en las etiquetas web-application websocket