Nuestra aplicación tiene el concepto de tokens de seguridad. Se trata de cadenas criptográficamente seguras generadas aleatoriamente que se utilizan al generar correos electrónicos de restablecimiento de contraseñas, así como confirmaciones de correo electrónico para otras acciones. Los tokens son de un solo uso y caducan después de un día. Los tokens proporcionan dos piezas clave de información. Identifican una cuenta específica y también demuestran que la persona que posee el token es el propietario de esa cuenta.
Actualmente nuestra aplicación no asigna un uso específico para cada token, un token generado para restablecer una contraseña se puede usar para confirmar otra acción, y viceversa.
Suponiendo que el token se mantenga seguro, cuáles serían las posibles fallas de seguridad, si las hubiera, y si nuestros tokens de seguridad se restringieran al propósito para el que se generaron originalmente (por ejemplo, solo un token de restablecimiento de contraseña puede restablecer una contraseña, etc.) )