我的应用程序本质上是一个无状态代理,它将从服务获取的一些数据转换为不同的格式,并在运行时将其提供给用户。由于数据不是保密的,因此唯一的身份验证方法是大型随机URL。尽管如此,我需要存储以获取数据的OAuth访问令牌确实提供了一些write功能,我希望避免泄漏。
我的问题是,使用访问令牌作为URL上的公共标识符是否安全,只是保护secret密钥,或者我是否应生成随机ID并在内部将它们链接到令牌。 / p>
答案 0 :(得分:1)
根据OAuth 1 spec,访问令牌在接收它们时以及使用它们访问共享资源时以明文(带有签名请求)传递。因此,只要您不泄露任何秘密,使用它们作为唯一标识符就不应该增加您的风险概况。
这就是说,控制你的网址格式可能是值得的,将两者链接在一起的麻烦。国内流离失所者可能会在某些时候出现一个错误,你不会想到它的格式,长度或唯一性会对你造成伤害。