Во первых, использовать jwt для сессии не лучшая идея, подробнее тут.
Касательно самого вопроса. Токен на клиенте получать необязательно, браузер будет отправлять http only cookie во время web socket handshake, только их нужно правильно настроить.
Можно придумать и другие способы аутентификации для websocket. Вот неплохая статья
Также socket io позволяет использовать олдскульный long polling, тут вообще с отправкой http only cookie никаких проблем т.к в данном случае с фронта будет отправляться обычный GET запрос.
Если domain сервера который устанавливает куки и domain socket io сервера отличается, то понадобится установка параметра Samesite=None, но тут нужно учитывать CSRF.
Еще при установке cookie можно установить атрибут Domain через wildcard, чтобы сделать cookie доступными для под доменов(например, http server example.org и socket io server ws.example.org)
Надеюсь помог)
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.