Pour bien faire les token doivent être généré aléatoirement (avec un générateur d'aléa cryptographique) à mon avis. Je pense qu'utiliser un HMAC est relativement risqué pour un gain douteux.
L'utilisateur final connait un token public qui lui est spécifique, donc le client peut le révoquer, si celui ci en fait un mauvais usage.
Sinon, ils sont risqués en quoi les HMAC ? J'imagine que c'est un peu plus risqué, mais aussi peut-être un peux plus léger en calcul qu'une signature avec clés asymétriques. Et dans les deux cas on peut transmettre quelques infos dans le token comme un identifiant utilisateur sans devoir faire un accès à la db.
Des token aléatoires, ça ne vas que si on passe par une db.
[^] # Re: comment ca marche ?
Posté par j_m . En réponse au message Authentification par token. OAuth, openId. Évalué à 1.
Sinon, ils sont risqués en quoi les HMAC ? J'imagine que c'est un peu plus risqué, mais aussi peut-être un peux plus léger en calcul qu'une signature avec clés asymétriques. Et dans les deux cas on peut transmettre quelques infos dans le token comme un identifiant utilisateur sans devoir faire un accès à la db.
Des token aléatoires, ça ne vas que si on passe par une db.