1
我正在制作一个网站,其中包括通过其OAuth界面连接到Twitter的网站。到目前为止,我在处理我的访问令牌等的安全性方面相当sl and,现在是解决问题的时候了。因此,我的问题 - 试图了解什么是正确的事情在这里做。 (推特是我正在做的事情的真正关注点,但我确信,处理Facebook和其他类似服务,无论是否有类似问题都会有类似问题。)如何存储oauth令牌和其他网站安全信息?
从整体看,似乎我处理至少以下事情,有安全隐患:
- 我的数据库的名称,用户名和密码,
- 消费者密钥和消费者秘密我的Twitter应用程序
- 的用户名,访问令牌,并访问该网站将用于与Twitter交谈的用户的令牌密码
- 对于每一个网站的用户,他们的Twitter访问令牌和访问令牌秘密
所以 - 什么是做所有这些东西对了吗?根据人们可以想象的不同类型的攻击,我可以提供关于我认为应该发生的事情的建议,但是如果我只是恳求完全的无知(而不是我更可能的90%的无知),并且看看是否有那里有共识或最佳实践的方式。我会接受我的安全新手主义的火焰,但失去我的新手地位的技术将更受赞赏。非常感谢!
看起来像一个愚蠢的http://stackoverflow.com/questions/1878830/securly-storing-openid-identifiers-and-oauth-tokens – DMCS 2012-02-14 22:20:24
确实有用;感谢指针。但是,讨论有点令人沮丧,因为它似乎没有真正得出关于应该做什么的结论。你有什么建议吗?例如,如果我对令牌进行加密,那么我可以在哪里放置不打开相同种类的孔的加密密钥,我试图将其插入? – 2012-02-15 01:45:13
这个应该是封闭的,因为它是一个骗局。所有意见/答案应列在该问题下。这个网站就像编程问题的维基百科。每个问题只应该被问一次。 – DMCS 2012-02-15 15:56:04