Из чтения документов Microsoft при аутентификации с помощью SignalR похоже, что единственный способ аутентификации с использованием токена-носителя - это отправить его в строке запроса в соединении WebSocket.
После проверки рукопожатия SignalR похоже, что заголовок авторизации включен в вызов Negotiate. Поскольку идентификатор соединения возвращается в ответе согласования, сервер может отслеживать, аутентифицирован ли этот идентификатор соединения.
Почему необходимо также добавить токен-носитель в строку запроса подключения к Websocket?