一旦检索到twitter oauth令牌怎么办?

时间:2010-05-12 16:31:10

标签: cookies twitter oauth

我正在编写一个将使用twitter作为其主要登录方法的Web应用程序。我编写的代码可以从Twitter获取oauth令牌。我的计划现在是

  1. 在我的Users表中查找使用令牌检索的twitter用户名的条目,或者在必要时创建条目
  2. 使用新的OAuth令牌
    3. 更新Users.TwitterOAuthToken列
  3. 在网站上创建一个带有随机guid的永久cookie,并将记录插入到我的UserCookies表中,将Cookie与用户匹配
  4. 当请求进来时,我会在UserCookies表中查找浏览器cookie ID,然后使用它来找出用户,并代表他们发出Twitter请求
  5. 将oauth令牌作为js变量写入某些页面,以便javascript可以代表用户发出请求
  6. 如果用户清除了他/她的cookie,用户将不得不再次登录到Twitter

    7. 这是正确的过程吗?我是否创建了大量安全漏洞?

2 个答案:

答案 0 :(得分:10)

听起来不错。

但是,我建议不要使用Twitter用户名作为User表的主索引。 Twitter用户名可以更改。我很难学到这一点。

使用Twitter用户ID(big int)作为主索引应该没问题,因为如果用户更改了用户名,它就不会改变。

至于它自己的标记,你可以存储它以备将来使用。事实上,我们鼓励你这样做。

答案 1 :(得分:0)

你能不能将oauth_token保存为cookie而不是GUID,并在oauth_token上进行基于用户的查找,还是那种不好的做法?

相关问题
最新问题