拦截（并可能拒绝）Web 套接字升级请求

我有一个 Node.js 服务器，我正在向其发送 Web 套接字升级请求。此请求的授权标头包含登录信息，我需要将其与数据库条目进行比较。我不确定如何阻止 Web 套接字连接打开，直到执行数据库查询回调之后。

以下是我目前正在做的事情的简化：

var Express = require('express')
var app = Express() 
server = app.listen(app.get("port"), function () {})
server.on("upgrade", function (request, socket) {
//Query database
//On success set "authenticated" flag on request (later accessed through socket.upgradeReq)
//On failure abort connection
})

这是可行的，但是在短时间内套接字处于打开状态，但我尚未验证授权标头，因此恶意用户可能会发送/接收数据。我通过使用“经过身份验证”标志来减轻实施中的这种风险，但似乎必须有更好的方法。

我尝试了以下操作，但是虽然它们似乎拦截了除升级请求之外的所有请求：

Attempt #1: 
app.use(function (request, response, next) {
//Query database, only call next if authenticated
next()
})

Attempt #2:
app.all("*", function (request, response, next) {
//Query database, only call next if authenticated
    next()
})

可能值得注意的是： 我也有一个 HTTP 服务器，它使用相同的端口并接受注册和登录的 POST 请求。

感谢您的帮助，如果需要更多信息，请告诉我。

我不确定这是否是正确的 HTTP 协议通信，但它似乎适用于我的情况：

server.on('upgrade', function (req, socket, head) {
  var validationResult = validateCookie(req.headers.cookie);
  if (validationResult) {
    //...
  } else {
    socket.write('HTTP/1.1 401 Web Socket Protocol Handshake\r\n' +
                 'Upgrade: WebSocket\r\n' +
                 'Connection: Upgrade\r\n' +
                 '\r\n');
                 socket.close();
                 socket.destroy();
                 return;
  }
  //...
});