1. jak długie powinno być prywatne hasło dla tokenu po stronie servera oraz jak długość wplywa na czas przetwarzania tokenu?
2. w części tokenu z informacjami zazwyczaj zawiera się zwykłe id użytkownika co według mnie jest bez sensu, ponieważ gdy ktoś zdobędzie prywatny klucz może podpisywać tokeny i zmieniając id łatwo uzyskać dostęp do każdego konta (tak wiem że to jest bardzo ciężkie, ale wciąż możliwe),
nie jest lepiej w tokenach posługiwać się nie publicznym id użytkownika? np. (id)_(salt) ex. 337_zgje1rtsa5wl (id zapisane tylko w bazie i sprawdzanie podczas interakcji z nią)
wtedy token spełni swoją rolę, a osoba mająca klucz prywatny wciąż nie będzie mogła dokonać żadnych zmian.
3. Niby tokeny mają ograniczyć liczbe zapytań do bazy, ale przecież token wysyłamy do servera najczęściej przy zmianach w bazie aby potwierdzić tożsamość, więc połączenie z nią i tak musi się odbyć, czy źle to rozumiem?