Estoy creando un sitio web "Learn OpenID and WS- *" y estoy usando todas las mejores prácticas para hacer que el sitio sea seguro.
Me gustaría crear una página que descifre el token OpenID o WS- * de la sesión actual y lo muestre en una página de diagnóstico especial. ¿Qué debo exponer y no exponer para evitar un ataque de repetición? No me preocupa la divulgación de información.
¿Es suficiente colocarlo en una página HTTPS a la que se accede utilizando solicitudes POST validadas?
Mi intención al hacer esta pregunta es aprender qué tan valiosos son ciertos campos en una respuesta de autenticación dada.