Возникла проблема идентификации пользователей, когда они подключаются с сайта к вебсокет-серверу (на Ratchet). Сайт закрытый, поэтому пользователи сайта точно авторизированы. Сессии хранятся в БД, потому нет возможности брать сессии из Memcached или Redis. Как такое обычно решают?
Придумал несколько вариантов, но не уверен в каждом из них:
- Передавать id пользователя сайта вебсокет-серверу при подключении. Но это легко можно подделать и нет гарантии что это этот пользователь.
- Можно к первому варианту добавить связку с ip (На сайте в БД хранится последний ip, с которого заходил каждый юзер. Соответственно после подключения вебсокет-сервер проверит соответствие id с последним ip по БД). Но ip-адреса тоже могут повторяться. Например зашли с разных вкладок на одном устройстве.
Прошу помочь с подсказкой
