Mi chiedo se è sicuro inviare "token ID", che è uno degli elementi che risultano dall'autenticazione di un utente utilizzando Google Open Id Connect, al client e utilizzarlo per un'ulteriore autenticazione.
L'altro elemento significativo è il token di accesso.
La mia idea era quella di inviare il token id al client e mantenere il token di accesso solo sul server, in modo che quando un utente arriva la volta successiva al sito web possa "presentare" il proprio "token ID" e sia considerato come registrato a.
Mi chiedevo se sarebbe una cattiva idea inviare un token ID sul cavo e memorizzarlo nella cache, o è accettabile farlo?