0

ユーザーが正常にログインした後、現在oAuthトークン+ tokenSecretを(サーバー側の)セッションに保存しているJava Webアプリを開発しています。セッションが期限切れになるたびに、ユーザーがログインする必要がないようにしたいと思います。

ツイッターからのuserNameのみを保存する場合、誰かがそのuserNameをCookieに簡単に変更して、私のWebアプリで利用可能なツイッターアカウントにアクセスすることができますか?

それで、oAuthトークンをCookieに保存し、要求に応じてデータベースからtokenSecureなどを取得するのは節約できますか?そのトークンを暗号化する必要がありますか、それともより良い/より安全な方法がありますか?

PS:これは同じことを尋ねる質問ですが、の「長期的な」質問には答えません

4

2 に答える 2

0

userName が Cookie に含まれていることに懸念がある場合は、userName の Base64 エンコードを確認できます。それが有効な懸念事項であると仮定すると、ランダムなuserNameを「推測」することがはるかに難しくなります。

于 2010-12-04T17:57:54.350 に答える
0

トークンを使用します。これが安全でない場合は、私にpingしてください:-)

于 2010-12-05T22:15:45.917 に答える