Все кто попало неизбежно смогут подключиться к серверу, если вы не защищаетесь какими-то ключами.

CORS - браузерная штука и нужна только для защиты сайтов "друг от друга"

Cors работает только в браузере, а к вебсокету и так можно подключиться откуда угодно, даже в браузере

типовые пакеты для этого дело можешь подсказать, чтобы велосипед не городить?

Сначала надо определиться, от кого и от чего вы хотите защищаться

видел на сайте, что datagrip встроен вроде в ide от jetbrains, но не нашел его в webstorm. Но в phpstorm он есть. И вообще стоит  переходить на phpstorm. Он поддерживает js синтаксис

поясню проблему. т.к. юзается 2-ая версия socket.io, на 3-ю нест пока еще не перешел

есть 2 варианта аутентификации:
1) через заголовки, но поддерживается это только через polling
2) через query, которое будет кэшироваться на промежуточных хостах

в 3-ей версии появилось свойство auth - но как упомянул выше, не могу этим воспользоваться

в handleConnection() в WebSocketGateway есть только socket, там пока данные не прокидываются, они прокидываются только в подписанных событиях
и вот без данных (jwtToken к примеру) сложно понять кто это, откуда пришел и зачем

т.е. подконнектится может кто угодно и держать соединение
а вот если кинул событие, то там стоит гард который откинет ненужное

phpstorm даёт только php + datagrip, на сколько я помню. Если они вам нужны - переходите

> есть 2 варианта аутентификации:
Нет )

давай рассказывай тогда)

ну у меня лицензция на все продукты от jetbrains и мне не сложно его отдельно скачать, но почему в webstorm его нет?

Проводите аутентификацию отдельным сообщением

+

Потому что он дешевле

когда завезут NodeStorm ? :D

А что в нём должно быть?

а нет никаких ограничений на phpstorme? после webstorm

нет

В WebStorme и так нода встроена, что вам еще нужно)))

это был риторический вопрос)
хотя вот что есть в пхпшторме таокго что нельзя делать в вебшторме?

пхпшторм включает в себя вебшторм