0

我正在开发一个 java web 应用程序,在用户成功登录后,我目前正在将 oAuth 令牌+tokenSecret 存储到(服务器端)会话中。现在我希望用户不需要在每次会话到期时登录。

如果我只存储来自 twitter 的用户名,那么有人可以轻松地在他们的 cookie 中更改该用户名并访问我的 webapp 上可用的任何 Twitter 帐户,对吗?

那么将oAuth令牌存储到cookie中并根据请求从数据库中获取tokenSecure等是否可以保存?我需要加密该令牌还是有更好/更安全的方法?

PS:是一个同样的问题,但没有回答我的“长期”问题

4

2 回答 2

0

如果您担心 cookie 中的用户名,您可以查看对用户名进行 Base64 编码的方法。假设这是一个有效的问题,这将使“猜测”随机用户名变得更加困难。

于 2010-12-04T17:57:54.350 回答
0

我将使用令牌。如果这不安全,请联系我 :-)

于 2010-12-05T22:15:45.917 回答