我試圖把一個相當快速的mash-up放在一起,我認爲這對人們很有用,而且我想利用Twitter通信。這是我第一次使用OAuth,我選擇了Twitterizer庫來完成工作。Twitter OAuth令牌存儲沒有用戶數據庫?
我的問題來自於我不打算存儲用戶信息或讓用戶創建帳戶(它意味着更多的是快速實用程序)。鑑於此,一旦我獲得用戶的OAuth訪問令牌和祕密,我必須找出一種安全的方式來存儲它們(可能是本地的),而不會影響OAuth的安全原則。
這裏是我至今想:
- 用戶經歷的過程,直到我有自己的訪問密鑰和祕密
- 我在Cookie加密值和存儲檢索後
然而,有幾個問題/顧慮:
- 什麼(如果有的話),防止有人通過cookie模仿用戶?
- 在同一瀏覽器中處理潛在多個用戶的正確方法是什麼?我最初的想法是在我的應用程序上的一個「註銷」按鈕,它會殺死cookie,但我不確定。
在此先感謝您的幫助!
如何計劃檢索您散列的訪問密鑰和祕密值?你的意思是加密它們並將它們加密存儲在cookie中? – userx
是的,正確的 - 謝謝!我會澄清。 – SeanKilleen
儘管您已經提供了大量的上下文很好,但人們應該明白,您提出的問題非常廣泛:我如何最好地將敏感信息存儲在cookie中?這是個好主意嗎? –