我正在使用OAuth在我的网站上添加用户身份验证。我使用Twitter作为网站进行身份验证。
当我在Twitter网站上接受应用程序时,我会完全退回到我的网站。然后我需要对回来的Tokens做点什么。查看一些演示代码,代码将response.Token和response.TokenSecret存储在内存中(不推荐)。建议将它们存储在数据库或某个持久性存储位置。
为什么?
它们用于什么?
它们是否与任何用户相关联?我不了解与工作流程以及用户的关系。
谢谢:)
答案 0 :(得分:1)
如果您的应用程序需要访问用户受保护的Twitter资源,则必须使用用户的信息(访问令牌和令牌密钥)以及应用程序的信息(消费者密钥和消费者密钥)。如果您将用户的信息存储在一个持久的存储空间,你与世界分享这个和你的消费者秘密然后恶意黑客可以垃圾邮件你的用户的帐户。
答案 1 :(得分:0)
安全系统应该向您承诺
http://en.wikipedia.org/wiki/Security_testing
- 免责声明:我不知道细节,这不具有权威性 -
您发送邮件的SSL / TLS(包括OAuth协议邮件)有助于1和2以及验证服务提供商(证书)。这对令牌和令牌密钥有助于使用公钥加密对您进行身份验证。令牌密钥确保只有消费者应用程序才能解码消息。
如果有一个函数 verify(令牌,tok_secret),则永远不会发送tok_secret,仅用于在客户端解码/验证回复。