Cześć, na wielu stronach wymagających działania w czasie rzeczywistym widziałem taki system autoryzacji do node.js (socket.io):
a) po zalogowaniu w sesji PHP tworzy się unikatowy identyfikator użytkownika;
b) na podstawie identyfikatora i time() tworzy się token;
c) token jest wysyłany razem z time() i identyfikatorem użytkownika do serwera i następuje autoryzacja.
Jak taka autoryzacja może działać? Prosiłbym także, jeżeli jest to możliwe, o linki, gdzie jest omówiona taka metoda autoryzacji, do nauki.
Pozdrawiam.