Al implementar la autenticación basada en token, ¿se recomienda volver a generar secretos periódicamente? Esto es asumiendo que los tokens generados tienen vencimiento.
Las pautas generales aquí son; El acceso a las claves secretas debe ser altamente restringido. Por ejemplo, si este es un secreto codificado, entonces, cada vez que alguien con acceso a la fuente abandone la empresa, los secretos deben rotarse. Claramente, los secretos de codificación son una mala práctica, y si los secretos se almacenaron correctamente en un HSM / KSM / CloudHSM, entonces hay menos presión para rotar. Tenga en cuenta, Yahoo almacenó las claves para El reino tiene un secreto codificado en el control de la fuente , de modo que cualquier persona con acceso a la fuente podría secuestrar 32 millones de cuentas de correo electrónico (aplauda a los ingenieros de seguridad de Yahoo).
tldr; rote si alguna vez tiene razones para creer que el secreto ha sido comprometido.
Lea otras preguntas en las etiquetas session-management