我正在开发一个java web应用程序,当前我正在将oAuth令牌+ tokenSecret存储在(服务器端)会话中,当用户成功登录后。现在我想每次会话过期时用户都不需要登录。Twitter:如何存储oAuth长期使用
如果我只会从twitter存储userName,那么有人可以很容易地在其cookie中更改该userName并访问我的webapp上可用的任何Twitter帐户?
因此,保存将oAuth标记存储到cookie中,并根据请求获取tokenSecure等数据库?我需要加密该令牌还是有更好/更安全的方法?
PS:Here是问同样的问题,但没有回答我的“长期”的问题
但是不是令牌(不tokensecure)已经是我想要的或者是不安全的使用它? base64ing userName也可以从黑客相对容易地完成... – Karussell 2010-12-04 18:15:41