owt中的oauth_token和oauth_token_secret

时间:2016-02-24 16:11:48

标签: twitter oauth jwt jwe

快速提问 - 使用twitter的oauth,我获得了oauth_token和oauth_token_secret来验证用户。

我知道我可以将这个加密存储在数据库中以便妥善保管,但是在一个受限制的jwt(jwe)中生病它们是个坏主意吗?

由于

1 个答案:

答案 0 :(得分:1)

秘密应该保密。

您将使用令牌代表用户进行api调用。记住这一点,可以将令牌存储在jwt中(但可能不是最佳实践),但绝对不能存储秘密。

一个可能更好的模式是将令牌和秘密存储在用户的模型中,并通过将用户的id存储在jwt中来引用该用户。由于您将向每个请求发送jwt,您可以解码jwt,获取用户的ID并查找用户的模型并从那里拨打电话。