我正在开发一个java web应用程序,我正在用户成功登录后将oAuth令牌+ tokenSecret存储到(服务器端)会话中。现在我希望用户不需要每次都登录会话到期。
如果我只存储来自Twitter的userName,有人可以轻松地在其cookie中更改该userName并访问我的webapp上可用的任何Twitter帐户吗?
因此,将oAuth令牌存储到cookie中是否可以保存并根据请求从数据库中获取tokenSecure等?我需要加密该令牌还是有更好/更安全的方式?
PS:Here是一个问同样但没有回答我的“长期”问题的问题
答案 0 :(得分:0)
如果您担心cookie中的userName,您可以查看Base64编码的userName。这将使得“猜测”一个随机的userName变得更加困难,假设这是一个有效的关注点。
答案 1 :(得分:0)
我将使用令牌。如果这是不安全的,请告诉我: - )