Mentre lavoravo allo schema auth per l'API della mia applicazione, avevo una domanda in testa.
Esiste una differenza tra l'autenticazione tramite token da solo o una coppia token di accesso? Al momento, il mio generatore di token utilizza l'accesso dell'utente, ed è per questo che ho pensato a un singolo parametro nella richiesta dell'API responsabile della registrazione dell'utente.
Tuttavia, pur non essendo un esperto di infosec, non posso fare a meno di pensare che questo potrebbe essere meno sicuro di chiedere all'utente sia il suo login che il suo token, come in teoria un utente malintenzionato, entrando in possesso di < il token di qualcun altro potrebbe essere in grado di usarlo.
Un altro fattore in questo è che le specifiche richiedono che i token forniscano accesso permanente, in quanto non possono scadere.
Quindi per ripetere: è necessaria una coppia token di accesso con una richiesta che fornisca maggiore sicurezza e che il token sia l'unica cosa necessaria?
Modifica 1: Mi sembra anche che se dovessi usare la coppia, sarebbe troppo come un'autenticazione regolare della password di accesso. Mi sbaglio nel pensarlo?