我正在为学校班级创建一个程序,该程序将访问Twitter并允许他们执行许多正常功能(发布,发送/接收消息,查看时间线......)。我使用twitter4j实现此操作,以便客户端每次登录时都不会通过授权过程我将授权令牌保存到文件中。由于这是一个很大的安全风险,我想知道如何设置它以便它们被写入的文件只能由程序读取和写入。或者如果有更好的方法来实现这个功能,我很满意。
答案 0 :(得分:0)
将令牌存储在localhost上的文件中后,任何可以访问笔记本电脑的人都可以检索该文件。
1 /我们可以为文件设置NTFS权限,这样只有目标用户才能访问该文件。但是,在Windows中,无法将对文件的访问限制为某个程序。 (例外情况是防病毒能够锁定病毒库 - 如果你想这样做,你必须让你的程序在后台持续运行以保持对文件的锁定)
2 /更简单的方法是加密令牌,以便只能使用您的程序和已安装的计算机正确解密。 例如:token = myEncryption(用户的authen信息,我的加密密钥,localhost唯一ID) 使用此方法,您可以防止令牌被盗。如果有人窃取了文件,他们就无法在其他笔记本电脑上使用它,也无法使用其他程序运行它。 无论如何,事实是:没有绝对安全的方法。 “所有钥匙都可以打破”:)
干杯。