如何确保私有频道的安全？

注意事项

看到广播系统内对私有频道的控制，仅仅只是web对laravel应用发起了一次http请求，然后以此来断言当前用户是否有权限监听此频道的事件。

操作

如果我是攻击者，我知道了某个人在XX金融网站上有账号，我想看这个人的资金流动，那么是否我只需要F12打开调试面板，自己new WebSocket，就可以看到所有的推送了？因为在websocket端应该是没有进行验证的，它们只管订阅和发布。

疑惑

很好奇 tlaverdure/laravel-echo-server这个项目和pusher有没有做权限验证。
注：pusher或者laravel-echo-server请求时携带的密钥实在是太好拿到了，所以我相信这肯定不是一个安全的手段，所以想请教各位大牛们是否有比较成熟的方案，或者是只能自己写一个socket服务端？