长轮询服务器原理(客户端标识)

我想在node.js中创建一个简单的长轮询服务器,其中的通信将基于jsonp请求。我知道客户机发出请求,服务器保持响应,直到某些数据准备就绪或达到某个超时,然后从客户机发出新的请求,以使事情继续进行。一旦发出第一个请求,就会生成并存储会话ID,以保留活动连接客户端的列表。现在,在服务器对客户端的第一个响应之后,我如何确定任何其他请求属于活动连接列表中的哪个客户端?

我可以想象这样做:服务器的第一个响应将分配的会话ID发送给客户机,然后在发出下一个请求时根据这个ID识别他。但我认为这种方法很容易被利用,很容易被身份盗用。