Quando FaceBook o Google mi forniscono una chiave API, la stanno semplicemente archiviando in un database?
Diversamente da una password, in cui è possibile eseguire l'hash e saltarlo prima di inserirlo nel database, mi sembra che una chiave debba essere archiviata così com'è (o in una forma reversibile) in modo che possano fornirla me su richiesta.
La mia preoccupazione è con l'archiviazione di informazioni immediatamente utilizzabili nei miei database.
Capisco che il metodo esatto utilizzato da queste aziende sia solo speculazione, a meno che tu non sia un ex dipendente o abbia informazioni privilegiate, ma mi chiedo se esiste una best practice più accettata.