Así que quiero escribir mi esquema de autenticación propio para un servidor de aplicaciones web, de la siguiente manera. Supongo que esta es una mala idea por razones de seguridad o de rentabilidad y sé que la sabiduría convencional es usar una biblioteca existente, pero me encantaría que me dieran indicaciones sobre dónde exactamente iría mal, ya que este esquema parece a la vez Seguro y fácil de construir.
En Pseudo-API, respondería a lo siguiente:
-
POST / login, registro (+ nombre de usuario, contraseña) - > crear y devolver token para este usuario. (Guardar usuario < - > relación de token en el servidor.)
-
POST / logout (+ token) - > destruir token para este usuario en el servidor. (Destruya la relación de usuario < - > nada en el servidor.)
-
POST / any-action (+ token) - > realizar acción si el token es correcto. (usuario y token coinciden con el usuario < - > token en el servidor.)
¿Es el paradigma inseguro anterior?