我正在使用Oauth 1.0a(专门推特)。用于授权的Oauth流包含状态,具体而言,客户端(我的应用程序)必须维护“请求令牌秘密”,直到用户(在浏览器中)使用Twitter进行身份验证,然后使用Oauth_Verifier返回。
问题:我在多个具有低TTL(1分钟)的Web服务器上使用DNS负载平衡进行故障转移,因此我希望我的应用服务器处于无状态。
我有两个解决方案:
1)将request_token_secret存储在加密的cookie(AES-256)中,让用户的浏览器将其重新发送到DNS指向的任何服务器
2)将Request_token_secret存储在具有request_token ID的数据库中
我更喜欢第一种,因为它更快更便宜,但我不确定它是否会产生安全问题。选项#1的任何问题?