Estamos construyendo un dispositivo físico. Este dispositivo necesita comunicarse con un servidor remoto. Para este fin, el dispositivo primero envía una solicitud HTTP (protegida por SSL) para "registrar" el dispositivo con el servidor, que responde con un token de cadena único y largo generado por un generador de números pseudoaleatorios criptográficamente seguro (CSPRNG) Está asociado con ese dispositivo. El token se transfiere al dispositivo a través de una conexión SSL. El dispositivo incluye este token junto con otras características de identificación (como una dirección MAC y una dirección IP) a través de una conexión SSL al enviar solicitudes.
¿Es esto lo suficiente como para determinar que el dispositivo de comunicación es quien dice que es? Debido a que todas las solicitudes pasan por una conexión SSL, un hacker no podría robar fácilmente el token, ¿correcto? Un pirata informático necesitaría adquirir el dispositivo físico para extraer el token, pero cada dispositivo tiene un token único, por lo que el robo no afecta la funcionalidad de otros dispositivos en el sistema.