Un usuario inicia sesión y recibe un token de sesión. Este token también se almacena en una base de datos en el servidor. El usuario incluye este token secreto con cada solicitud, y el servidor lo extraerá de la base de datos para autenticar al usuario.
Este esquema es vulnerable a que alguien (un DBA enojado) rastree el token de la base de datos y secuestre la sesión del usuario. Mantener el almacén de tokens de la sesión en la memoria aumenta la dificultad de oler la clave, pero aún así no es imposible.
¿Cuál es la forma generalmente aceptada de almacenar de forma segura los tokens de sesión?