どこから読んでも、コンシューマーの秘密鍵をオープン ソース コードに保存するのは良くないという印象が残っています。そのため、別の Web サーバーに外部プロキシを設定して、リクエストとアクセス トークンを処理しました。
では、プロバイダーからアクセス トークンとシークレットを受け取ったら、それらのトークンを外部 Web サーバーに保存し、すべての要求で Web サーバーをポーリングする必要がありますか? または、これらのトークンをプラグインがユーザーのデータベースに保存するユーザーの Wordpress インストールに戻す必要がありますか?
ありがとう!
それらをユーザーのワードプレスのインストールに保存します。プロキシ/リレーエンドポイントに何らかの識別子が必要であり、最後に保存したアクセストークンでプラグインを識別します。
アクセス トークンがユーザーのワードプレスから漏えいした場合でも、いずれにせよ安全に保管しているコンシューマ キーがなければ使用できません。ただし、漏洩したアクセス トークンが、リレー エンドポイント経由で認証済みのリクエストを行うために使用されるリスクがあります。しかし、別の識別メカニズムでも同じ状況が発生します。
本当に安全にプレイしたい場合は、wordpress のインストールとリレー サービスの間に単純な暗号化レイヤーを実装できます。たとえば、アクセス トークン パラメーターの SHA1 ハッシュ、URL、タイムスタンプ、さらに別のインストール固有のシークレットをソルトとします。これにより、少なくとも失われたアクセス トークンがリレー エンドポイントで直接使用できなくなります。次に、私が見ることができる唯一の攻撃ベクトルは、wordpress DB 自体が侵害されていることです。