Un utente accede e riceve un token di sessione. Questo token è anche memorizzato in un database sul server. L'utente include questo token segreto con ogni richiesta e il server lo estrarrà dal DB per autenticare l'utente.
Questo schema è vulnerabile a qualcuno (un DBA arrabbiato forse) che annusa il token dal DB e dirottando la sessione dell'utente. Mantenere la memoria del token di sessione in memoria aumenta la difficoltà di sniffare la chiave, ma non è ancora impossibile.
Qual è il modo generalmente accettato di memorizzare in modo sicuro i token di sessione?