0
我期待构建一个Meteor.js应用程序,它将使用社交媒体API执行各种任务。在Meteor.js帐户以外存储访问令牌有什么安全隐患?
不同的社交媒体帐户需要关联到应用内的不同项目,而不是与一个用户关联。因此,将相关的访问令牌存储在项目集合中对我来说是有意义的。
我只是想知道这种方法是否存在任何安全隐患,因为我可以找到任何人试图证明这一点?
我期待构建一个Meteor.js应用程序,它将使用社交媒体API执行各种任务。在Meteor.js帐户以外存储访问令牌有什么安全隐患?
不同的社交媒体帐户需要关联到应用内的不同项目,而不是与一个用户关联。因此,将相关的访问令牌存储在项目集合中对我来说是有意义的。
我只是想知道这种方法是否存在任何安全隐患,因为我可以找到任何人试图证明这一点?
OAuth令牌通常代表一个人,所以我认为最好总是与单个用户关联。虽然你可以将一个令牌绑定到一个项目上(例如可口可乐脸谱媒体活动),但它可能会很麻烦(你是否考虑过同一项目中的多个用户?1个用户超过1个项目?)。我猜每个项目都是针对媒体广告系列的,如果是的话,每个广告系列可能应该是用户的一个子实体。
例如, 我建议OAuth令牌和用户之间是一对一的关系。 然后,每个用户都有一个属性,如projects = []
,您可以将项目ID作为外键放入数组中。然后在项目集合,每个项目将至少有2个字段:
{
tokenAPI: facebook
token: 2039asfkljelkfajw
}
没有安全问题,无论哪种方式,节省了一些头痛的只是可能性。
你应该用'settings.json'来处理这个最好的方法http://docs.meteor.com/#/full/meteor_settings –