токены. просветление

Мне кажется, что ты пытаешся найти глубокий смысл там, где его нету.

В большинстве случаев токены нужны только для того, чтобы оставить за сервером возможность управления сессиями.

Напр: Сегодня парень зашел на сайт, залогинился и в куках сохранился не логин с паролем, а токен. Таким образом нет необходимости с каждым запросом к серверу гонять по сети логин/пароль, а серверу в свою очередь нет необходимости каждый раз проверять этот логин с паролем (иногда это занимает драгоценное процессорное время, тккак нужно напр вычислиьь хэш).

Кроме того сервер получает возможность на следующий день сказать, что даный токен не валидный (вдруг ктото другой сел за компьютер).

роль токена, прикрепляемого к каждому запросу, состоит только в том чтобы убедить сервер, что запросы в пунктах 7 и 8 выполняет один и тот же человек(браузер)

Почему бы и нет... А еще можно удалять старый токен при повторной авторизации.

Тогда мы будем знать, что с акаунтом одновременно может работать только однин браузер.

Тоже с этим мучался. п.3 - пароль сохраняется не когда ты входишь (если я правльно понял, вход===аутентификация), а когда регистрируешься (=== авторизация). Т.е. в п.3 вычисляется хеш пароля и сравнивается с записанным в БД хешем ,к -рый был создан из твоего пароля при аутентификации.

Вот чтиво про токены. Оно явно взято с англоязычного сайта и переведено машинным переводом, оригинал, наверное, можно найти по URL :)

http://qaru.site/questions/101423/best-practices-for-server-side-handling-of-...

п.6. - просто, если у тебя токен есть, то сервер знает, что это тот токен, который этим сервером отправлен. Выдан ли он нашему чуваку или какому-то ещё - то неведомо. Сервер может хранить сессию и по ней проверять, что этот токен был выдан нашему чуваку, а не какому-то другому. Если сервер не хранит сессию, то мне кажется, что он не может проверить, кому именно он выдал этот токен. Т.е. кража токена позволяет делать действия от имени любого пользователя.

ИМХО (тоже интересно, если меня кто-то поправит).

3. заполняет форму авторизации, после чего пароль отправляется запросом на сервер и там кодируется и записывается в БД

При авторизации обычно пароль не записывается в БД.
Он записывается на этапе регистрации или изменения пароля.

На данном шаге нам нужно проверить, что связка «логин-пароль», присланная с интернетов, действительно существует в БД.

Для этого нам нужно выполнить вот это:
1. Взять полученные логин и пароль и заэскейпить их, чтобы нам не передал привет SQL Injection.
2. Отправить селект-запрос в базу, чтобы найти логин.
3. Если нашли запись по логину, то привоидм пароль в нужный вид (если требуется).
4. Сверяем пароли. Если совпадают, переходим к следующему шагу. Если нет, отправляем ответ с 401-м кодом (ну или что-то другое делаем - зависит от требований бизнеса).

На этом шаг 3, если его рассматривать в общих чертах, завершён.

Токен - это просто такой кэш-костыль, чтобы не заставлять клиента на каждый запрос вводить логин и пароль.

Проверили один раз логин-пароль, выдали билетик на ограниченное время. Дальше проверяем только билетики.

Проблема с токенами в том, что их можно стырить и делать злые действия от чужого имени.