Oauth 1.0a (特に Twitter) を使用しています。承認のための Oauth フローには状態が含まれます。具体的には、クライアント (私のアプリ) は、ユーザー (ブラウザー内) が Twitter で認証され、Oauth_Verifier で返されるまで、「リクエスト トークン シークレット」を維持する必要があります。
問題: フェールオーバーのために短い TTL (1 分) で複数の Web サーバー間で DNS 負荷分散を使用しているため、アプリ サーバーをステートレスにしたいと考えています。
私は2つの解決策を考えています:
1) request_token_secret を暗号化された Cookie (AES-256) に保存し、ユーザーのブラウザーがその時点で DNS が指しているサーバーに再送信できるようにします。
2) request_token_secret を request_token の ID とともにデータベースに保存します。
私は前者の方が高速で安価なので好みますが、セキュリティ上の問題が発生するかどうかはわかりません。オプション#1に問題はありますか?