Я решил записывать токен в отдельную таблицу и ставить экспайред 1 час. Юзер получает токен и пользуется им в момент когда юзер присылает токен который истек, ему выдается новый токен, старый из бд удаляется. т.о если в течении часа злоумышленик украл токен. то по истечениии часа он уже не сможет им воспользоватся. Ваше мнение?
Спасибо за ответ, но я так понимаю что этот хеш в любом из вариантов генерируется один раз при регистрации (иначе сервер не будет знать как его распознать каждый раз). Так что в случае его "перехвата" ни один из предложенных вариантов существенно на безопасность не влияет.
Как я понял хеш юзера каждый раз передается одинаковый. Зачем тогда каждый раз передавать его на сервер (вместо передачи случайно сгенерированного хеша)?