2012-02-14 104 views
1

我正在製作一個網站,其中包括通過其OAuth界面連接到Twitter的網站。到目前爲止,我在處理我的訪問令牌等的安全性方面相當sl and,現在是解決問題的時候了。因此,我的問題 - 試圖瞭解什麼是正確的事情在這裏做。 (推特是我正在做的事情的真正關注點,但我確信,處理Facebook和其他類似服務,無論是否有類似問題都會有類似問題。)如何存儲oauth令牌和其他網站安全信息?

從整體看,似乎我處理至少以下事情,有安全隱患:

  • 我的數據庫的名稱,用戶名和密碼,
  • 消費者密鑰和消費者祕密我的Twitter應用程序
  • 的用戶名,訪問令牌,並訪問該網站將用於與Twitter交談的用戶的令牌密碼
  • 對於每一個網站的用戶,他們的Twitter訪問令牌和訪問令牌祕密

所以 - 什麼是做所有這些東西對了嗎?根據人們可以想象的不同類型的攻擊,我可以提供關於我認爲應該發生的事情的建議,但是如果我只是懇求完全的無知(而不是我更可能的90%的無知),並且看看是否有那裏有共識或最佳實踐的方式。我會接受我的安全新手主義的火焰,但失去我的新手地位的技術將更受讚賞。非常感謝!

+0

看起來像一個愚蠢的http://stackoverflow.com/questions/1878830/securly-storing-openid-identifiers-and-oauth-tokens – DMCS 2012-02-14 22:20:24

+1

確實有用;感謝指針。但是,討論有點令人沮喪,因爲它似乎沒有真正得出關於應該做什麼的結論。你有什麼建議嗎?例如,如果我對令牌進行加密,那麼我可以在哪裏放置不打開相同種類的孔的加密密鑰,我試圖將其插入? – 2012-02-15 01:45:13

+0

這個應該是封閉的,因爲它是一個騙局。所有意見/答案應列在該問題下。這個網站就像編程問題的維基百科。每個問題只應該被問一次。 – DMCS 2012-02-15 15:56:04

回答