Uso la gema devise_token_auth al desarrollar una API para una aplicación móvil. Los autores afirman que:
Los tokens se deben invalidar después de cada solicitud a la API.
Este comportamiento está habilitado por defecto. ¿Alguien puede explicar por qué?
La respuesta perfecta contendrá todos los mecanismos de seguridad obligatorios de este método de autenticación. Cada uno será justificado con el nombre de un ataque asociado. Se debe dar una consideración especial a la invalidación de token .