Questa domanda è suddivisa in più domande che - almeno sopra SO - è disapprovata, ma si riduce a una domanda principale, che è: qual è il modo corretto di usare token di autenticazione?
Ecco le mie conoscenze su come funzionano i token di autenticazione, ma queste sono solo supposizioni, dal momento che non sono stato in grado di trovare alcuna informazione utile su Internet.
-
Quando un utente effettua il login, genero un nuovo token di autenticazione nel database, sovrascrivendo quello precedente.
-
I token di autenticazione dovrebbero scadere dopo un certo periodo di tempo. (L'utente dovrebbe essere in grado di configurare questa volta?)
-
I token di autenticazione dovrebbero essere memorizzati sul lato client come cookie.
-
Quando l'utente fa qualcosa per cui devono essere autenticati (ad es. creando un post), il token di autenticazione che forniscono è verificato rispetto a un ID utente che forniscono anche . Solo se corrispondono, concedo loro di creare il post.
Tutto questo è corretto? E c'è altro che dovrei sapere?
Ribadisco che sono sicuro che qualcuno prenderà in considerazione questo vago, o open-ended, quindi sarei felice di chiarire qualsiasi cosa, se necessario.