Comprendo la necesidad de un acceso por programación a apis, etc., mientras que las contraseñas se utilizan para una autenticación más humana. Sin embargo, cuando almacenamos contraseñas, (con suerte) las eliminamos y las procesamos. Cuando almacenamos tokens, están en algún formato que se puede revertir en texto sin formato, ya que a menudo revelamos estos tokens a los desarrolladores.
Lo que me parece curioso es que no he encontrado ninguna preocupación por almacenar tokens, pero ¿no es este tratamiento intrínsecamente menos seguro que el de las contraseñas? ¿Por qué estamos bien con esto? ¿No podríamos guardar el token en la base de datos una vez que se lo mostramos al desarrollador y luego, si necesitan cambiarlo, pídales que lo reinicien (al igual que nosotros con las contraseñas)?