Нужно ли проверять аутентификацию пользователя при каждом socket-ивенте?

Question

[devdev10111]

Нужно ли проверять аутентификацию пользователя при каждом socket-ивенте?
Или достаточно только один раз - при on connection (безопасно ли это будет)?

Под аутентификацией имею в виду операции по проверке JWT/Bearer токена. На каждый socket-event мне кажется затратно проверять подпись, тк сокеты могут сыпаться быстро и в большом количестве.

Например, при подключении к сокет серверу в query буду отправлять userId и accessToken. Далее буду проверять, что accessToken валдиный для userId. Может ли пользователь отправить сначала свой userId со своим accessToken, а затем, рамках этого сокета подменить userId?

Answer 1

[KoreanGuy]

Можно проверять, можно нет. Подменить не сможет, но токен может истечь во время сессии. Если кто-то украдет чужой токен и подключится пока токен валиден, то в теории, если валидировать только при подключении, он сможет использовать украденный токен пока не отсоединится, даже если токен живет только час.