Правильная генерация токенов авторизации должна обеспечивать уникальность, безопасность и защиту от перебора (brute force). Обычно используют криптографически стойкие случайные значения или JWT с подписью.

Что должно быть внутри токена для защиты от перебора:

Уникальный идентификатор (например, случайный UUID или nonce), чтобы токены не повторялись.
Временная метка или срок действия (expiration), чтобы ограничить время жизни токена.
Цифровая подпись или HMAC, чтобы предотвратить подделку токена.
Минимальная информация, необходимая для аутентификации, без избыточных данных.

Пример генерации токена с использованием Python и библиотеки secrets:

import secrets
import time

def generate_token():
    token = secrets.token_urlsafe(32)  # криптографически стойкий случайный токен
    expiration = int(time.time()) + 3600  # токен действителен 1 час
    return {'token': token, 'expires_at': expiration}

Для защиты от перебора также важно ограничивать количество попыток и использовать механизмы блокировки или задержки.

Как правильно генерировать токены авторизации? Что должно находиться внутри токена, чтобы защититься от перебора?