Twitter：如何存储 oAuth 以供长期使用

Question

我正在开发一个java web应用程序，当前在用户成功登录后将oAuth token+tokenSecret存储到（服务器端）会话中。现在我希望用户不需要在每次会话过期时登录。

如果我只存储来自 twitter 的用户名，那么有人可以轻松地在他们的 cookie 中更改该用户名并访问我的 web 应用程序上可用的任何 twitter 帐户，对吗？

那么是否可以将 oAuth 令牌存储到 cookie 中并根据请求从数据库获取 tokenSecure 等？我需要加密该令牌还是有更好/更安全的方法？

PS：这里是一个问题，询问相同但没有回答我的“长期”问题

Answer 1

如果您担心 cookie 中的用户名，您可以查看对用户名进行 Base64 编码。假设这是一个有效的问题，那么“猜测”随机用户名就会变得更加困难。

Answer 2

我将使用令牌。如果这不安全，请告诉我:-)