Насколько я понимаю, аутентификация на основе токенов заключается в том, что при аутентификации (возможно, через ssl) токен передается пользователю для дешевой проверки пользователя на лету. Одна из реализаций этого - создание файла cookie, который передается в пользователь для управления сеансом.
Но, Насколько я понимаю, аутентификация на основе токенов (по крайней мере, через файлы cookie) восприимчива к атакам человека в середине, например firesheep.
Существуют ли другие методы реализации, которые позволяют избежать этой серьезной проблемы безопасности, или у меня есть фундаментальное недопонимание tba?