Yo sugeriría NO archivar el número de serie.
Normalmente, el almacén de credenciales de autenticación contiene algunas permutaciones de lo siguiente:
- el identificador del usuario (es decir, nombre de usuario)
- el identificador del token (es decir, el número de serie)
- la contraseña del usuario
El identificador del token se combina con una clave de inicio y la marca de tiempo actual para averiguar la "clave" actual que el usuario envía junto con su nombre de usuario. Si un usuario diferente envió esta "clave", no debería funcionar porque no coincide con el nombre de usuario y la contraseña del usuario verdadero.
Cuando un usuario pierde o rompe un token, debe informarlo a través del número de serie, y se emitirá un nuevo token y un nuevo número de serie. En ese momento, desea que los administradores puedan identificar fácilmente los números de serie antiguos y nuevos y eliminar el número de serie anterior. El error humano es lo que es, yo diría que no haga que el número de serie sea difícil de determinar, o será difícil verificar qué entrada es la ficha antigua y cuál es la nueva.
Varias veces, he tenido que identificar múltiples tokens de un usuario determinado (trabajo en un sistema de alta seguridad donde 1 usuario puede tener varios tokens, cada uno para un propósito diferente): puedo buscar el número de serie en el token de la base de datos es la mejor manera de evitar el bloqueo de la cuenta de usuario con intentos incorrectos de contraseña. Un número de serie aleatorio es MUCHO mejor, en estos casos, que poner una etiqueta en el token que diga "acceso al sistema de alto secreto".
Dicho esto, los números de serie están vinculados a una función de seguridad y deben tratarse con cierto grado de cuidado; no deben utilizarse para la autenticación y, cuando se transmitan, asegúrese de que los usuarios los transmitan de forma segura.