Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
快速提问 - 使用 twitter 的 oauth,我得到了一个 oauth_token 和 oauth_token_secret 来验证用户。
我知道我可以将此加密存储在数据库中以进行保管,但是将它们简单地放在加密的 jwt (jwe) 中是不是一个坏主意?
谢谢
秘密应该保密。
您将使用令牌代表用户进行 api 调用。记住这一点,可以将令牌存储在 jwt 中(但可能不是最佳实践),但绝对不能存储秘密。
一个可能更好的模式是将令牌和秘密存储在您的用户模型中,并通过将用户的 id 存储在您的 jwt 中来引用该用户。由于您将随每个请求一起发送 jwt,因此您可以解码 jwt、获取用户的 id 并查找用户的模型并从那里进行调用。