我在使用OAuth在我的网站上添加用户身份验证。我使用Twitter作为网站进行身份验证。有人可以解释OAuth Response Token/TokenSecret用于什么吗?
当我接受该应用程序在Twitter网站上,我完全反弹回我的网站。然后我需要做一些回复的Tokens。查看一些演示代码,代码将response.Token和response.TokenSecret存储在内存中(不推荐)。建议将它们存储在数据库或某个持久性存储位置。
为什么?
它们用于什么?
它们是否与任何用户关联?我不明白与工作流和用户的关系。
谢谢:)
如果您的应用程序需要访问用户的受保护的Twitter的资源将必须与您的应用程序的信息一起使用用户的信息(访问令牌&令牌密钥)(消费者密钥和消费者秘密。)如果您将用户的信息存储在永久存储空间中,并与世界共享此消费者密码,那么恶意黑客可能会将用户的帐户发送给您。
一个安全的系统应该答应你
http://en.wikipedia.org/wiki/Security_testing
--disclaimer:我不知道的细节,这是不authoritative--
的SSL/TLS在您发送邮件(包括OAuth协议消息)1和2帮助和认证服务供应商(证书)。这对令牌和令牌秘密有助于使用公钥密码术进行身份验证。令牌密钥确保只有消费者应用可以解码消息。
如果有函数验证(令牌,tok_secret) tok_secret从不发送,只用于在客户端解码/验证回复。