Sto creando un sito "Impara OpenID e WS- *" e sto utilizzando tutte le migliori pratiche per rendere il sito sicuro.
Vorrei creare una pagina che decodifichi il token OpenID o WS- * della sessione corrente e visualizzarlo in una pagina di diagnostica speciale. Cosa devo esporre e non esporre per impedire un attacco di riproduzione? Non sono interessato alla divulgazione di informazioni.
È sufficiente posizionarlo su una pagina HTTPS a cui si accede utilizzando richieste POST convalidate?
Il mio intento nel porre questa domanda è di capire quanto siano preziosi certi campi in una determinata risposta di autenticazione.