最佳实践 - 是否存储 Twitter 凭据？

Question

我希望能够让我的用户能够在我的网站上的个人资料中显示他们最近的推文。

我有一个 PHP twitter 包装器并了解如何进行 API 调用等，但我只是想知道如何管理用户信息。

这里的最佳做法是什么？我希望他们能够输入一次凭据，但我想自己存储每个人的用户名/密码并不是最好的方法。

• 有没有办法拨打一次经过身份验证的电话，然后让 Twitter 记住它？
• 我应该存储用户名/密码，然后在显示推文时拨打电话吗？

这里的任何建议都会很棒。

谢谢你，

Answer 1

使用 OAuth，无需询问用户密码：

http://apiwiki.twitter.com/Authentication

我认为每个人都会/应该同意存储 Twitter 用户名/密码是不好的，我不敢相信他们曾经创造过你需要它的情况。

Answer 2

您不应该永远存储任何类型的未加密凭据。 如果您的解决方案涉及保留明文密码，即使是很短的时间，您也需要重新设计一些东西。

绝对的最佳实践是您自己不保留任何信息 - 使用 cookie 或 OAuth 来处理您的身份验证。 用户可以随意禁用会话令牌或 cookie，从而使他们能够控制您网站的行为。

下一个最好的事情（尽管仍然非常不可取）是保存不可逆的加密凭据，以便在您需要显示推文时重新发送到 Twitter。

Answer 3

您不需要他们的密码来提取他们的最新推文，除非他们的个人资料被锁定，只需从 http 提取提要://twitter.com/statuses/user_timeline/用户名.rss

您应该查看 Twitter 的 OAUTH 支持（尽管他们有

Answer 4

无论如何，您希望在网站上发布的推文通常都是公开的。

如果您确实需要代表用户在某处进行身份验证（也许允许用户发送新推文），则最佳实践是在您最初进行身份验证时提示用户，然后然后存储资源返回的任何身份验证令牌，而不是用于获取它的凭据。