Estoy implementando un servidor web y las pautas que estoy siguiendo sugieren: - para crear un token por un serializador que toma el IdUser, una clave simétrica y una fecha de caducidad - Proporcionarlo al usuario pero no almacenar este token en una base de datos - para verificar una solicitud con un token descifrando el token con la misma clave simétrica, verifique la caducidad, luego verifique si el idUser es válido y luego permita la operación.
No me parece muy seguro, ¿confirma usted que es válido & ¿Práctica segura?