Эта проблема напоминает мне, как WCF структурирует транспорт (SSL) в сравнении с безопасностью сообщений.Чем больше уровней безопасности у вас есть, тем лучше вы будете в конечном итоге.Если ваша дверь имеет только ручку, а не засов, насколько вы защищены?
Лучше всего использовать защиту транспорта (SSL) и сообщения на элементах, которые, по вашему мнению, чувствительны к вашему приложению.Вам нужен некоторый идентифицируемый токен, но вы всегда должны хранить токен в зашифрованном виде, как если бы вы хранили клиентские куки.Не позволяйте пользователям запрашивать идентификаторы, которые вы хотите сохранить в тайне.
Схемы шифрования могут быть разными, но вы можете реализовать любой уровень защиты, какой вы считаете нужным.