Sto implementando un webserver e le linee guida che sto seguendo suggeriscono: - creare un token da un serializzatore che prende IdUser, una chiave simmetrica e una data di scadenza - fornirlo all'utente ma non memorizzare questo token in un database - per verificare una richiesta con un token decodificando il token con la stessa chiave simmetrica, controllare la scadenza, quindi verificare se l'idUser è valido e quindi consentire l'operazione.
Per me non sembra molto sicuro - confermi che questo è valido e amp; pratica sicura?