Как только я получу свой токен доступа для сайта (скажем, facebook), используя OAuth, насколько важно хранить этот секрет? Может ли что-нибудь злонамеренное произойти, если кто-то схватит его?Насколько важно хранить секретный токен доступа OAuth?
Мне было интересно, было бы неплохо сохранить токен в cookie или сеансе.
Возможно, вы не захотите хранить файлы cookie, но сеанс в порядке. Идея заключается в том, что файлы cookie считаются «пользовательскими вводами» и ненадежны (если не используются подписанные файлы cookie), что означает, что вам технически необходимо запросить свою пользовательскую базу данных, чтобы проверить, что маркер доступа действителен до его использования. Это уже сделано для идентификаторов сеансов на уровне сеанса в большинстве веб-фреймворков. –
Помимо действительности, я больше беспокоюсь о безопасности. Поэтому я взял access_token, который я получил из facebook, а на другом компьютере запустил curl -F 'access_token = 162032318056 | 2.0r19NN8CJ3qiz2e0dA_G6w __. 3600.1288576800-6423201 | q7GD-dWTEvWoqEZjZ77Ga_ddhwA' -F 'message = TEST' https://graph.facebook.com/me/feed Эта команда отправила ТЕСТ на мою стену. Поэтому я беспокоюсь о том, что злоумышленник может читать куки-файлы someones, захватывать маркер доступа, который они получили с сайта, а затем запускать привилегированные команды на чужой счету facebook. Из этого теста кажется, что это возможно –
Брэд, вы выяснили решение? Помимо сеанса или файла cookie, где еще его будет хранить? Сохранение его в БД каждый раз, когда пользователь входит в систему, а затем запрашивает его, кажется, как бы громоздкая идея в лучшем случае ... – Alexandra