通过Twitter OAuth安全登录 - 最佳实践
问题描述:
我是新来的OAuth和寻求建立使用Twitter(的OAuth)来验证的Web应用程序。除了通过Twitters oAuth,将没有其他登录方法。我正在寻找最佳实践方面的建议,以根据令牌保护网站。这是我的计划:通过Twitter OAuth安全登录 - 最佳实践
- 用户是从我的网站采取通过Twitter的网站进行身份验证
- 生成用户访问令牌
- 获得通过Twitter API的用户独特的Twitter ID
- 做一个用户查找中本地数据库与此ID并找到访问令牌(如果可用)。
- 如果没有用户,请在用户表中创建新行并针对用户进行保存。如果用户找到,则更新访问令牌再次用户记录。
- 如果找到用户,md5_salt twitterid并设置为cookie。
- 如果基于cookie的
用户重新访问,查找用户这听起来像一个安全的方法或使用MD5的Twitter ID的坏主意?
感谢您的评论。
答
不知道你的客户/消费者应用程序正在做什么,很难说这种方法是否“安全”。
我看到的一个问题是,一旦您有来自twitter的访问令牌,如果Cookie被删除,您如何识别您的用户?或者你是否会要求他们获得新的访问令牌?这意味着他们每次都必须登录并授权您的应用程序。
此外,您的应用程序的一个用户的访问令牌。可能会被您的应用的其他用户盗用并使用。因为它的工作原理就像密码一样,并且您没有身份验证来验证Cookie保存的访问令牌。
要回答你的问题的话,我会说,使用OAuth作为唯一的身份验证提供者,无论你怎么做,是不是最佳做法。
为了安全起见,客户端(消费者)应用程序和服务器(提供者)应用程序都需要验证用户的身份。最简单的方法是使用用户名和密码存储在用户头部,而不是存放在某处...