我正在开发一个网络应用程序。它使用 oauth 从不同的服务进行身份验证。 将这些 token 和 secret 直接保存到数据库中是否存在任何风险?或者我应该加密它们?
保存 oauth token 和 secret 的一般安全模式是什么
最佳答案
此帖子回答了您的所有问题:
Securly Storing OpenID identifiers and OAuth tokens
本质上,以下内容以某种方式相互依赖:
- 消费者 key
- 消费者 secret
- 访问 token
- 访问 token secret
除非消费者 key / secret 也面临风险,否则您不需要加密访问 token / secret 。访问 token 只能与生成它们的消费者 key / secret 结合使用。
关于Oauth Token 和 Secret 的安全模式,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7359871/