我正在使用 Oauth 1.0a(特别是 Twitter)。授权的 Oauth 流程包含状态,具体来说,客户端(我的应用程序)必须维护“请求令牌秘密”,直到用户(在浏览器中)使用 Twitter 进行身份验证,然后返回 Oauth_Verifier。
问题:我在多个具有低 TTL(1 分钟)的 Web 服务器上使用 DNS 负载平衡来进行故障转移,因此我希望我的应用服务器是无状态的。
我有两个解决方案:
1) 将 request_token_secret 存储在加密的 cookie (AES-256) 中,并让用户的浏览器将其重新发送到当时 DNS 指向的任何服务器
2) 将 Request_token_secret 存储在 ID 为 request_token 的数据库中
我更喜欢第一个,因为它更快更便宜,但我不确定它是否会造成安全问题。选项#1 有任何问题吗?