我正在计划使用 django 创建的应用程序。我对应用程序的一个方面的想法是连接到用户的 Outlook.com(或 gmail.com 等)帐户以创建日历条目/事件。
为了做到这一点,我计划利用 OAuth 框架,该框架在此过程中会发出访问令牌和刷新令牌。
我可以使用什么方法将此信息安全地存储在我的应用程序的后端,以便可以重复使用,并且每次我的应用程序与目标服务器上的用户帐户交互时用户不需要重新授权?
—————————————————————————————————</p>
我读过与此类似的问题,但所有答案似乎都特别模糊,好像没有人愿意就这个问题提出建议。
我曾考虑将令牌直接存储在 django 会话框架中,但我读过的很多资料都强烈建议不要直接存储令牌。
我已经阅读了有关加密-存储-解密作为混淆令牌的选项,但这似乎毫无意义。如果您加密的目的是扰乱数据库字段的内容,那么您就是在假设有人可能会访问您的数据库来读取它。如果是这种情况,恶意行为者肯定也能够获得存储的环境变量加密密钥,该密钥可用于解密存储的令牌。如果是这样,我会遇到所有这些麻烦,并且与将其存储为普通令牌相比没有任何安全性增强。