我刚拿到我的twitter oauth令牌(OAuth 1.0a),所以在我将它存储到数据库之前,我有这个问题:我需要加密吗?
发布了一个类似的问题here。
答案说:
因此,如果他们没有使用consumer_key和consumer_secret进行完全访问,那么从数据库中获取用户的access_token将无济于事。
服务提供商根据请求比较所有4个参数。在存储之前加密这4个参数并在响应之前解密它们将是明智的。
如果黑客不能仅使用oauth令牌做任何事情,那么我为什么要加密呢?
据我所知,如果黑客可以使用oauth令牌获取我的消费者密钥,他也会将我的加密密钥存储在运行该应用程序的服务器上。