È sicuro conservare i dati importanti in un token di accesso crittografato? Ad esempio, invece di memorizzare i token di accesso in un database, non memorizzarli affatto e inserire i dati associati in essi prima della crittografia.
Come. Sto configurando un server di autenticazione Oauth. Creo un token di accesso racchiudendo insieme il timestamp del token, l'indirizzo IP della richiesta per il token, il principal utilizzato per la richiesta e forse alcuni altri dati, come una stringa. Quindi codifico la stringa in Base64 e la eseguo tramite una crittografia avanzata.
Quando viene inviato il token, utilizzo la mia chiave per decrittografarlo, decodificarlo da Base64 e leggere i dati che contiene. Se riesco a leggerlo, non può essere stato manomesso, giusto?
L'unica ragione per archiviare i token di accesso e l'utente a cui sono stati assegnati in una tabella di database è una mancanza di fiducia nella crittografia avanzata?