使用 Twitter 和 OAuth 的客户端应用程序：我的方法正确吗？

Question

我有一个用 .NET 4.0/C# 开发的应用程序。它旨在供想要监视硬件传感器并提醒他们特定值的客户使用。通知的一种选择是通过“发推文”到他们选择的 Twitter 帐户。在 Twitter 更改为 OAuth 之前，用户输入他们的帐户名和密码，这足以代表他们发送推文。

在阅读了 Twitter API 和 OAuth 后，我想看看我是否正确理解了维护此功能的最佳方法。

我已在 dev.twitter.com 注册了我的应用程序，并获得了必要的消费者密钥和消费者秘密。

该应用程序可能需要向多个 Twitter 帐户发送推文，因为每次安装都会有多个用户使用该应用程序。

如果我理解正确，我将需要执行以下操作：

1. 为每个用户提供某种“请求授权”按钮，该按钮会启动 Twitter 身份验证网站。在那里，用户登录，然后获得 PIN 码。

2. 使用PIN码获取用户的AccessToken和AccessTokenSecret。

3. 在应用程序的会话（启动）之间存储这两个令牌。

我的问题：

1. 在存储（在 SQL 中）时我应该加密这些令牌吗？

2. 是否需要重新授权？该程序只需安装一次，然后即可在无人值守的情况下运行。重新授权帐户将会破坏交易。

虽然它不应该影响任何答案或建议，但我正在使用 TweetSharp 库。 >

Answer 1

你的理解对我来说似乎很好。

1. 这取决于您如何存储消费者密钥和秘密。如果攻击者可以获得这些和用户的代币，那就糟糕了。如果没有您的令牌，令牌也没有多大用处。
2. 仅当用户撤销其授权时。