ruby – 从OAuth安全地存储token / secret / etc的正确方法?
发布时间:2020-12-16 20:21:45 所属栏目:百科 来源:网络整理
导读:我刚刚开始研究OAuth,看起来真的很好.我现在有红宝石 oauth with twitter working. 现在我想知道,我的本地数据库和会话中存储回应的建议安全方法是什么? 我应该储存什么? 我应该在哪里存放? 此示例twitter-oauth-with-rails应用程序在会话中存储user.id,
|
我刚刚开始研究OAuth,看起来真的很好.我现在有红宝石
oauth with twitter working.
现在我想知道,我的本地数据库和会话中存储回应的建议安全方法是什么? >我应该储存什么? 此示例twitter-oauth-with-rails应用程序在会话中存储user.id,用户表具有令牌和秘密.但是,似乎通过传递一大堆测试用户ID来攻击并获取秘密是非常容易的,不是吗? 解决方法
没有没有你的Twitter应用程序的消费者密钥/秘密的令牌是无用的,因为它们对于每个应用程序不一样,而是依赖于消费者密钥/秘密.
要获取一个会话变量,你必须猜测会话ID不是那么容易完成. 如果您希望可以将这些令牌存储在会话中,但我建议您将所有其他用户数据中的用户令牌存储在数据库中,以便您的会话仅包含用于识别系统中用户的数据. 更新:我不知道我是否正确理解您通过猜测ID从数据库访问令牌的含义. 您是否有任何身份验证,以便用户必须输入一些凭据才能访问其数据?您应该以与存储用户电子邮件地址或密码相同的方式存储令牌,只有经过身份验证的用户才能访问它们. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |