Sto creando un token di autenticazione di sessione e lo invio all'applicazione client. Qualsiasi dato utente ecc è associato a questo token nel database, quindi il token non contiene alcuna informazione sensibile.
È sufficiente creare un token casuale? Un tipo di attacco che mi è venuto in mente sono solo token forzanti. Come posso impedirlo? La crittografia del token sembra essere altrettanto suscettibile a un simile attacco. Forse HMAC?