Attualmente sto studiando l'autenticazione token per applicazioni web e native, al fine di rendere gli utenti autenticati senza usare la loro password tutto il tempo tramite HTTPS. Capisco come funzionano i token e ho visto molti modi diversi per gestirli, ma ci sono ancora alcuni punti che non sono chiari.
Come dovrei crittografare / hash il token generato? Alcune persone consigliano solo un algoritmo hash, altri HMAC-SHAX.
Nel caso in cui ho appena cancellato il token, in che modo il server autentica un particolare utente? Non è più debole di un'autenticazione basata su password utilizzando un algoritmo strong come bcrypt?
Infine, per evitare il furto di token, come dovrei archiviarli sul lato client? O c'è un modo migliore di memorizzare i token sul client.
Grazie