Originariamente inviato da addictedToPhp
Non credo di inserire il timeout per il controllo utente, ma solo per curiosità , che valore avresti salvato in questo campo?
Il tiemout lo userei per i controlli di ri-conferma utente, dopo x secondi devi inserire username o codice di controllo o quello che ti pare per confermare che sei sempre tu.(Pignolerie ma se vuoi aumentare i lvl di security ... e' come quando parte lo screensaver con password sul pc)

Originariamente inviato da addictedToPhp
Per generare il token privato mi basta solo una stringa di caratteri e numeri casuali?
Esatto puoi fare 1 metodo che li genera stringe di dimensione x con dati "casual"

Originariamente inviato da addictedToPhp
Per il token attuale invece devo criptare i dati dell'utente usando il token privato come chiave?
Mai paralto di crittazione dati, ma solo di hashing usa crc che e' il piu' veloce genrei il cheksum dei dati sensibili dai dati della request e confronti il checksum con quanto hai in database e anche qui puoi operare in 2 modi 1->generi il checkusm a login e nella query fai il controllo where chekcsum="$checksum" oppure non lo salvi e la query diventa where crc( concat(campo1,campo2,camp3) )="$checksum"

Originariamente inviato da addictedToPhp
la procedura di controllo recupera i dati dal database, e poi?
Poi li controlli con i dati della request.

Originariamente inviato da addictedToPhp
verifico i dati facendo un confront tra il checksum dei dati nel database e quelli attuali??
Esatto recupera i dati da request e conforna con database !