我正在构建一个Meteor.js应用程序,它将使用社交媒体API执行各种任务。
不同的社交媒体帐户需要与应用内的不同项目相关联,而不是与一个用户相关联。因此,在项目集合中存储关联的访问令牌是有意义的。
我只是想知道这种方法是否有任何安全隐患,因为我可以找到任何人试图这样做的证据?
答案 0 :(得分:0)
OAuth令牌通常代表一个人,因此我认为始终与单个用户关联是最佳做法。虽然你可以将一个令牌绑定到一个项目(例如可口可乐facebook媒体活动),但它可能会在后面遇到麻烦(你考虑过同一个项目中的多个用户吗?1个用户有多个项目?)。我猜每个项目都是针对媒体宣传活动的,如果是这样,每个广告系列应该是用户的子实体。
例如,
我建议的是OAuth令牌和用户之间的一对一关系。
然后,每个用户都有一个属性projects = [],您可以将项目ID作为外键放在数组中。然后在项目集合中,每个项目至少有两个字段:
{
tokenAPI: facebook
token: 2039asfkljelkfajw
}
无论是出于安全问题,还是存在一些令人头疼的问题。