Boa pergunta. Não vou conseguir te responder, mas acredito que no exemplo da Teleport, que armazena a chave no cliente, é para casos onde não é necessário recuperar a informação, como dito na segunda opção da resposta do Security Stack Exchange:

2. Se você não precisa mapear os dados de volta, pode usar, por exemplo, um HMAC com um segredo longo gerado aleatoriamente. Sem o segredo, você não pode utilizar força bruta para adivinhar os IDs originais, mesmo quando eles consistam em apenas 1 único caractere.