Esta pregunta está dividida en múltiples preguntas que, al menos en SO, está mal vista, pero se reduce a una pregunta principal, que es: cuál es la forma correcta de usar tokens de autenticación?
Este es mi conocimiento de cómo funcionan los tokens de autenticación, pero son solo suposiciones, ya que no he podido encontrar ninguna información útil en Internet.
-
Cuando un usuario inicia sesión, genero un nuevo token de autenticación en la base de datos, sobrescribiendo el anterior.
-
Los tokens de autenticación deben caducar después de un cierto tiempo. (¿El usuario debería poder configurar esta vez?)
-
Los tokens de autenticación deben almacenarse en el lado del cliente como cookies.
-
Cuando el usuario hace algo para lo que necesita autenticarse (por ejemplo, creando una publicación), el token de autenticación que suministran se verifica con una identificación de usuario que también proporciona. Solo si coinciden, les permito crear la publicación.
¿Todo esto es correcto? Y, ¿hay algo más que deba saber?
Reitero que estoy seguro de que alguien considerará esto vago o abierto, por lo que me complacería aclarar cualquier cosa si es necesario.