La nostra applicazione ha il concetto di token di sicurezza. Si tratta di stringhe generate casualmente e crittograficamente sicure utilizzate durante la generazione di e-mail di reimpostazione della password, nonché di conferme e-mail per altre azioni. I token sono monouso e scadono dopo un giorno. I token forniscono due informazioni chiave. Identificano un account specifico e dimostrano che la persona che detiene il token è il proprietario di quell'account.
Attualmente la nostra applicazione non assegna un uso specifico per ciascun token, un token generato per reimpostare una password può essere utilizzato per confermare un'altra azione, e viceversa.
Supponendo che il token sia tenuto al sicuro, quali potrebbero essere le eventuali insidie della sicurezza e i nostri token di sicurezza dovrebbero essere limitati allo scopo per cui sono stati originariamente generati (ad esempio, solo un token di reimpostazione della password può reimpostare una password, ecc. )