WAMP.ws: как управлять безопасностью и конфиденциальностью?

Я использую WAMP.ws технические условия для проектирования публичных / частных чатов пользователей на моем веб-сайте.

Моя проблема возникает, когда я пытаюсь сохранить список всех подключенных пользователей. Что я мог сделать:

1. Все пользователи подписываются на раздел "/ Контакты / соединения".
2. когда пользователь подключается, он публикует сообщение "hello" с аргументом "user_id", сообщая другим пользователям, что он подключен.

--> но как я могу доверять пользователям ? Любой пользователь может отправить сообщение" Привет " со случайным аргумент "user_id".

Для меня сервер должен сделать некоторые проверки перед передачей сообщения. Но разве это в соответствии с ВАМПОМ.спецификации js ? Я читал, что опубликованное сообщение всегда передается сервером.

Другим решением может быть использование вызова RPC для подключения пользователя. На самом деле, я сделал это для аутентификации пользователей. Но может ли сервер сам транслировать событие в тему "/ контакты / соединения"? (после вызова RPC, а не после сообщения" опубликовать") Я читал об этом. События являются только прямым результатом "публикации" от клиента. Более того, это не помешает обычным пользователям отправлять событие trought "/contacts/connections" в теме, которая будет транслироваться сервером.

Я чувствую, что мои два решения (проверка опубликованных сообщений перед трансляцией или трансляция события сервером после вызова RPC) оба ломают WAMP.спецификации js. Или я ошибаюсь ?

Спасибо