Todos sabemos que, cuando se almacenan contraseñas, debemos guardarlas con un hash unidireccional, como una variante de SHA, bcrypt o scrypt para evitar filtraciones de contraseña de texto sin formato cuando se hackea la base de datos.
Pero ¿qué pasa con los tokens de OAuth? ¿Cómo debería uno almacenar token de acceso a Facebook? Twitter token de acceso? ¿Debo guardarlo como texto plano? ¿Cifrarlo con AES y una clave de sitio? ¿O alguna forma más segura de almacenarlo?
(Siempre que la aplicación haya solicitado solo el alcance del token esencial de Facebook y la aplicación tenga buenas razones para almacenar el token)