Tôi đang viết một ứng dụng web sẽ sử dụng twitter làm phương thức đăng nhập chính của nó. Tôi đã viết mã nhận mã thông báo oauth từ Twitter. Kế hoạch của tôi bây giờ làViệc cần làm với mã thông báo oauth twitter sau khi được truy xuất?
- Tìm các entry trong bảng Users tôi cho tên người dùng twitter lấy ra sử dụng được dấu hiệu, hoặc tạo ra các mục nếu cần thiết
- Cập nhật cột với OAuth mới thẻ Users.TwitterOAuthToken
- Tạo một cookie vĩnh viễn với một hướng dẫn ngẫu nhiên trên trang web và chèn một bản ghi vào bảng UserCookies của tôi khớp Cookie với Người dùng
- khi có yêu cầu. Tôi sẽ tìm id cookie của trình duyệt trong bảng UserCookies, sau đó sử dụng nó để tìm ra người dùng và thực hiện yêu cầu twitter thay mặt họ
- Viết token oauth vào một số trang như là một biến js để javascript có thể đưa ra yêu cầu thay mặt cho người dùng
- Nếu người dùng xóa/cookies của mình người dùng sẽ phải đăng nhập lại đến twitter
Đây có phải là quá trình chính xác không? Tôi đã tạo ra bất kỳ lỗ hổng bảo mật lớn nào chưa?
Cảm ơn bạn đã sử dụng id. Có an toàn khi gửi mã thông báo oauth cho khách hàng để yêu cầu không? – mcintyre321
vì mã thông báo được gắn với đơn đăng ký của bạn. – Jayrox
Sẽ không có vấn đề gì nếu ai đó đánh cắp dữ liệu tôi đã gửi và sau đó thực hiện các yêu cầu bằng cách sử dụng mã thông báo xác thực đó? Hay tôi đang quá hoang tưởng? – mcintyre321