Twitter:如何存储 oAuth 以供长期使用

发布于 2024-10-06 15:56:48 字数 426 浏览 7 评论 0原文

我正在开发一个java web应用程序,当前在用户成功登录后将oAuth token+tokenSecret存储到(服务器端)会话中。现在我希望用户不需要在每次会话过期时登录。

如果我只存储来自 twitter 的用户名,那么有人可以轻松地在他们的 cookie 中更改该用户名并访问我的 web 应用程序上可用的任何 twitter 帐户,对吗?

那么是否可以将 oAuth 令牌存储到 cookie 中并根据请求从数据库获取 tokenSecure 等?我需要加密该令牌还是有更好/更安全的方法?

PS:这里是一个问题,询问相同但没有回答我的“长期”问题

I am developing a java web app where I'm currently storing the oAuth token+tokenSecret into the (server side) session after the user successfully logs in. Now I would like that the user does not need to login every time the session expires.

If I would only store the userName from twitter someone could easily change that userName in their cookie and get access to any twitter account available on my webapp right?

So is it save to store the oAuth token into a cookie and up on request get the tokenSecure etc from database? Do I need to encrypt that token or is there a better/more secure way?

PS: Here is a question asking the same but without answering my 'long term' question

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

忆离笙 2024-10-13 15:56:48

如果您担心 cookie 中的用户名,您可以查看对用户名进行 Base64 编码。假设这是一个有效的问题,那么“猜测”随机用户名就会变得更加困难。

If you are concerned about the userName being in the cookie, you could look at Base64-encoding the userName. That would make it much harder to "guess" a random userName, assuming that's a valid concern.

伤感在游骋 2024-10-13 15:56:48

我将使用令牌。如果这不安全,请告诉我:-)

I will use the token. Please ping me if this is insecure :-)

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文