我试图把一个相当快速的mash-up放在一起,我认为这对人们很有用,而且我想利用Twitter通信。这是我第一次使用OAuth,我选择了Twitterizer库来完成工作。Twitter OAuth令牌存储没有用户数据库?
我的问题来自于我不打算存储用户信息或让用户创建帐户(它意味着更多的是快速实用程序)。鉴于此,一旦我获得用户的OAuth访问令牌和秘密,我必须找出一种安全的方式来存储它们(可能是本地的),而不会影响OAuth的安全原则。
这里是我至今想:
- 用户经历的过程,直到我有自己的访问密钥和秘密
- 我在Cookie加密值和存储检索后
然而,有几个问题/顾虑:
- 什么(如果有的话),防止有人通过cookie模仿用户?
- 在同一浏览器中处理潜在多个用户的正确方法是什么?我最初的想法是在我的应用程序上的一个“注销”按钮,它会杀死cookie,但我不确定。
在此先感谢您的帮助!
如何计划检索您散列的访问密钥和秘密值?你的意思是加密它们并将它们加密存储在cookie中? – userx
是的,正确的 - 谢谢!我会澄清。 – SeanKilleen
尽管您已经提供了大量的上下文很好,但人们应该明白,您提出的问题非常广泛:我如何最好地将敏感信息存储在cookie中?这是个好主意吗? –