Je viens de commencer à chercher OAuth et ça a l'air vraiment sympa. J'ai maintenant oauth with twitter working à ruby.Correct façon de stocker en toute sécurité jeton/secret/etc de OAuth?
Maintenant, je me demande, quel est le moyen sûr recommandé de stocker les réponses dans ma base de données locale et une session?
- Que dois-je stocker?
- Où dois-je le stocker?
Cet exemple twitter-oauth-with-rails app stores une user.id
à la session, et la table utilisateur a le token
et secret
. Mais il semble que ce serait vraiment facile de pirater et d'obtenir le secret en passant juste un tas d'identifiants d'utilisateurs de test, non?
merci, cela est utile. J'essaye juste de saisir vraiment la meilleure manière de faire ceci parce que beaucoup de personnes ont dit de ne jamais stocker toutes les données confidentielles dans la session. mais il semblait qu'il soit possible d'accéder à un modèle d'utilisateur à partir de la base de données par identifiant s'il était dans la session, si le développeur laissait quelque chose exposé. quelque chose comme ca. –
Les données de session ne sont pas accessibles à l'utilisateur car elles ne connaissent que l'ID de session mais pas ce qui est stocké dans la session. La seule façon d'accéder aux données de session pour un autre utilisateur est d'utiliser le détournement de session, mais il ne s'agit pas seulement de remplacer un petit nombre par un autre. Voir ici: http://en.wikipedia.org/wiki/Session_hijacking –
Si vous y réfléchissez, alors il n'y a pas d'autre moyen de dire à quel utilisateur appartient la session car vous ne pouvez utiliser que des cookies et c'est juste ce que font les sessions mais plus sécurisé que de simplement stocker l'ID de l'utilisateur dans le cookie. –