我正在建立一个网站,除其他外,通过其OAuth界面连接到Twitter。到目前为止,我对处理访问令牌等的安全问题非常草率,现在是时候解决这个问题了。因此我的问题 - 试图了解在这里做什么是正确的事情。 (Twitter对我正在做的事情真的很关注,但我敢肯定,处理Facebook和其他类似服务,无论是否OAut,都会有类似的问题。)
从整体上看,我似乎至少处理了以下具有安全隐患的事情:
那么 - 对所有这些东西做什么是正确的?根据人们可以想象的不同类型的攻击,我可以提供关于我认为应该发生什么的建议,但是如果我只是恳求完全无知(而不是我更可能的90%无知?)并且看看是否有任何东西可能会更好那里的共识或最佳实践方式。我会为我的安全新手主义接受火焰,但是失去新手身份的技巧会更受欢迎。非常感谢!
答案 0 :(得分:0)
通常,OAuth令牌非常安全。它们很难被偷走,即使你偷了它们,你仍然可以使用它们。
无论如何,我建议使用此加密: https://github.com/offensive-security/exploit-database/blob/master/platforms/multiple/local/24923.txt
他们https://www.offensive-security.com/的人建造了它,所以我猜它非常紧凑和全面。