Mientras trabajaba en el esquema de autenticación para la API de mi aplicación, tuve una pregunta en mi cabeza.
¿Hay alguna diferencia entre la autenticación por token solo o por un par de token de inicio de sesión? En este momento, mi generador de tokens utiliza el inicio de sesión del usuario, y es por eso que he estado pensando en un único parámetro en la solicitud de API responsable del inicio de sesión del usuario.
Sin embargo, aunque no soy un experto en infosec, no puedo evitar pensar que esto podría ser menos seguro que pedirle al usuario tanto su inicio de sesión como su token, como en teoría un usuario malintencionado, que llega a poseer < es posible que el token de alguien más pueda usarlo.
Otro factor en esto es que las especificaciones requieren que los tokens proporcionen acceso permanente, ya que no pueden caducar.
Por lo tanto, para reiterar: ¿Se requiere un par de token de inicio de sesión con una solicitud que proporcione más seguridad en lugar de que el token sea lo único requerido?
Edit 1: También me parece que si utilizara el par, sería muy parecido a la autenticación de contraseña de inicio de sesión regular. ¿Me equivoco al pensar eso?