Comprendo la necessità di oauth per l'accesso programmatico alle apis, ecc. considerando che le password sono utilizzate per una maggiore autenticazione a livello umano. Tuttavia, quando memorizziamo le password, noi (si spera) salano + li cancelliamo. Quando immagazziniamo i token, questi sono in un formato che può essere invertito in testo in chiaro poiché spesso questi token vengono visualizzati dagli sviluppatori.
Ciò che trovo curioso è che non mi sia mai venuto in mente di memorizzare i token, ma non si tratta di un trattamento intrinsecamente meno sicuro di quello per le password? Perché stiamo bene con questo? Non potremmo hash il token nel db dopo l'unica volta che lo mostriamo allo sviluppatore e poi se hanno bisogno di cambiarlo chiediamo loro di resettare (proprio come facciamo per le password)?