我是oAuth的新手,希望使用Twitter(oAuth)构建一个Web应用程序进行身份验证。除了通过Twitters oAuth之外,没有其他登录方法。我正在寻找有关最佳实践的建议,以基于令牌保护网站。这是我的计划:
这听起来像是一种安全方法,还是使用md5 twitter id是一个坏主意?
感谢任何评论。
答案 0 :(得分:0)
如果不确切知道您的客户/消费者应用程序正在做什么,很难判断这种方法是否“安全”。
我看到的一个问题是,一旦你有来自twitter的访问令牌,如果cookie被删除,你如何识别你的用户?或者您是否要求他们获得新的访问令牌?这意味着他们每次都必须登录并授权您的应用程序。
此外,您的应用的一个用户的访问令牌。可能被您的应用的其他用户窃取和使用。因为它就像密码一样工作,并且您没有身份验证来验证您的cookie保存访问令牌。
要回答您的问题,我不得不说使用oauth作为唯一的身份验证提供程序,无论您如何操作,都不是最佳做法。
为了确保客户端(消费者)应用程序和服务器(提供者)应用程序的安全,需要验证用户的身份。最简单的方法是使用用户名和密码存储在用户头中,而不是存储在某个地方......