apache+tomcat+postgresで構築したWEBサービスに
ユーザーにpush通知する仕組みを実装する予定で、そのユーザー認証の仕組みをどうすべきか悩んでいます。

javaのバージョンがwebsocketに対応していないため、
クライアントとのwebsocketのやり取りはjettyを間に置いて実現する想定です。

そこでwebsocketでの認証時に

var ws = new WebSocket(wss://xxx.xxx.xx?id=xx&pass=xx);

のような形でwebsocketの初期化時に渡すURLにパラメータで認証用のデータをくっつけて、

jettyで受け取ったデータをtomcatにhttpリクエスト送信してtomcat内で認証させ、
返ってきたレスポンスによってwebsocketを確立させるか切断するという方法を考えています。

ただ、何となくこの方法はセキュリティ的によろしくない気がするのですが、その根拠がはっきりしません。

絶対によくない理由があるのか、またあるならばどのような方法をとればいいのでしょうか。