История изменений

А аутентификация по токену не требует раскрытия токена?

Требует. Поэтому ключи лучше. (Вру. Если используется digest authentication, то токен не будет светиться открытым текстом.)

Раскрытие публичного ключа ни к чему не приводит, они и так известен. Раскрытие хендшейка тоже ни к чему не приводит, потому что наблюдателю не известен сессионный ключ. Раскрытие приватного ключа — это факап, для которого звёзды ещё должны сойтись.

В то же время для токенов раскрытие токена — штатный этап протокола. Это лучше только «чем пароли». Если утечёт токен — то, в идеале, под угрозой хотя бы не весь аккаунт.

А аутентификация по токену не требует раскрытия токена?

Требует. Поэтому ключи лучше.

Раскрытие публичного ключа ни к чему не приводит, они и так известен. Раскрытие хендшейка тоже ни к чему не приводит, потому что наблюдателю не известен сессионный ключ. Раскрытие приватного ключа — это факап, для которого звёзды ещё должны сойтись.

В то же время для токенов раскрытие токена — штатный этап протокола. Это лучше только «чем пароли». Если утечёт токен — то, в идеале, под угрозой хотя бы не весь аккаунт.