Khi tôi nhận được mã thông báo truy cập của mình cho một trang web (nói facebook) bằng OAuth, điều quan trọng là giữ bí mật này như thế nào? Có thể bất cứ điều gì độc hại xảy ra nếu ai đó có một tổ chức của một?Làm cách nào để giữ bí mật mã thông báo truy cập của OAuth?
Tôi đã tự hỏi nếu nó sẽ là một ý tưởng tồi để lưu mã thông báo trong cookie hoặc phiên.
Bạn có thể không muốn lưu trữ trong cookie, nhưng phiên là OK. Ý tưởng là cookie được coi là "đầu vào của người dùng" và không đáng tin cậy (trừ khi sử dụng cookie đã ký), có nghĩa là bạn phải truy vấn cơ sở dữ liệu người dùng của mình để xác thực rằng mã thông báo truy cập hợp lệ trước khi sử dụng. Điều đó đã được thực hiện cho các ID phiên ở cấp phiên trong hầu hết các khung công tác web. –
Ngoài hiệu lực, tôi lo lắng hơn về bảo mật. Vì vậy, tôi lấy access_token tôi nhận được từ facebook và trên một máy tính khác chạy curl -F 'access_token = 162032318056 | 2.0r19NN8CJ3qiz2e0dA_G6w __. 3600.1288576800-6423201 | q7GD-dWTEvWoqEZjZ77Ga_ddhwA' -F 'message = TEST' https://graph.facebook.com/me/feed Lệnh này đăng TEST lên tường của tôi. Vì vậy, tôi lo lắng về một người dùng độc hại có thể đọc một số cookie, lấy mã thông báo truy cập họ nhận được từ một trang web, và sau đó có thể chạy các lệnh đặc quyền trên tài khoản facebook ai đó. Từ thử nghiệm này có vẻ như là có thể –
Brad, bạn đã tìm ra giải pháp chưa? Ngoài phiên hoặc cookie, nơi khác sẽ lưu trữ nó? Lưu nó trong DB mỗi khi người dùng đăng nhập và sau đó truy vấn nó có vẻ như một ý tưởng rườm rà nhất ... – Alexandra