Это зависит от вашего приложения (ваш сценарий угрозы, если быть более точным).
Некоторые из наиболее распространенных угроз - подслушивание (-> следует зашифровать) - человек посередине (-> должен подтвердить подлинность другоговечеринка) - ... какие у тебя?(насколько безопасен ваш куки-магазин, ....)
Сначала куки-файл содержит только токен как доказательство того, что когда-то вы успешно произвели аутентификацию.Если файл cookie действителен достаточно долго или транспорт не зашифрован, есть большая вероятность, что кто-нибудь когда-нибудь узнает ...
Кроме того, сначала вы должны принять во внимание, какие дополнительные меры безопасности применяются исамый важный SSL.
Какой у вас метод аутентификации (какие учетные данные нужны клиенту для входа)?У вас есть возможность работать с аутентификацией, основанной на инфраструктуре PPK, или это коммуникация "ad-hoc"?
EDIT
Wrt.в OpenAuth: насколько я понял протокол, его главная задача - делегирование аутентификации.Сценарий, в котором вы разрешаете агенту выполнять какую-то очень конкретную задачу от имени другой личности.Таким образом, вы не разбрасываете свои учетные данные по всей сети.Если у вас есть OpenAuth, клиент также может использовать протокол напрямую.Так зачем добавлять другое.Но OpenAuth прямо заявляет, что в сценарии с прямым клиентом вы снова сталкиваетесь с проблемами безопасности, так как теперь токен доступен на устройстве и должен быть защищен соответствующим образом (как вы должны делать со своим cookie).