онимание аутентификации на основе токенов заключается в том, что при аутентификации (возможно, через ssl) токен передается пользователю для дешевой проверки пользователя на лету. Одной из реализаций этого будет создание файла cookie, который передается пользователю для управления сеансом.

Но, насколько я понимаю, аутентификация, основанная на токене (по крайней мере, через куки), восприимчива к человеку в середине атак, таких как firesheep.

Существуют ли другие способы реализации, которые обходят эту главную проблему безопасности, или у меня есть фундаментальное недопонимание tba?