快速提问 - 使用twitter的oauth,我获得了oauth_token和oauth_token_secret来验证用户。
我知道我可以将这个加密存储在数据库中以便妥善保管,但是在一个受限制的jwt(jwe)中生病它们是个坏主意吗?
由于
答案 0 :(得分:1)
秘密应该保密。
您将使用令牌代表用户进行api调用。记住这一点,可以将令牌存储在jwt中(但可能不是最佳实践),但绝对不能存储秘密。
一个可能更好的模式是将令牌和秘密存储在用户的模型中,并通过将用户的id存储在jwt中来引用该用户。由于您将向每个请求发送jwt,您可以解码jwt,获取用户的ID并查找用户的模型并从那里拨打电话。