• [^] # Re: comment ca marche ?

    Posté par . En réponse au message Authentification par token. OAuth, openId. Évalué à 1.

    Pour bien faire les token doivent être généré aléatoirement (avec un générateur d'aléa cryptographique) à mon avis. Je pense qu'utiliser un HMAC est relativement risqué pour un gain douteux.
    L'utilisateur final connait un token public qui lui est spécifique, donc le client peut le révoquer, si celui ci en fait un mauvais usage.

    Sinon, ils sont risqués en quoi les HMAC ? J'imagine que c'est un peu plus risqué, mais aussi peut-être un peux plus léger en calcul qu'une signature avec clés asymétriques. Et dans les deux cas on peut transmettre quelques infos dans le token comme un identifiant utilisateur sans devoir faire un accès à la db.

    Des token aléatoires, ça ne vas que si on passe par une db.