Нашел вот эту статью:
live-notes.ru. Там парень проводит авторизацию http запросом с вебсокет сервера (node js) на основной сервер (php), имитируя запрос от клиентского браузера с куками php-сессий. На php проверяет авторизован ли пользователь или нет. Вопрос: насколько это надежно, ведь куки можно другие подставить и также юзер-агент?