Господа, подскажите как правильно быть с токеном? Допустим клиент сервиса авторизауется через, допустим, OAuth и получает некий токен, по которому сервер его идентифицирует.
Стало быть каким образом этот токен хранится на сервере? Ведь записывать его, например, в базу не очень безопасно, ибо если кто-то его перехватит - может под ним зайти.
Любой HTTP-запрос может быть перехвачен (прослушан). Хоть это REST, хоть RPC. Если страшно гонять токен между сервером и клиентом (кука или query параметр), то нужно все шифровать, например использовать HTTPS.