2010-12-04 8 views
0

私は現在、ユーザーが正常にログインした後、oAuthトークン+ tokenSecretを(サーバー側)セッションに格納しているJava Webアプリケーションを開発しています。セッションが終了するたびにログインする必要はありません。Twitter:長期使用のためにoAuthを保存する方法

twitterからuserNameだけを保存すると、誰かがcookie内のそのuserNameを簡単に変更して、自分のwebappで使用できるtwitterアカウントにアクセスできますか?

oAuthトークンをクッキーに保存して、要求に応じてデータベースからtokenSecureなどを取得しますか?私はそのトークンを暗号化する必要がありますか、より良い/より安全な方法がありますか?

PS:Hereが同じに尋ねる質問ですが、あなたがクッキーにあるuserNameに不安がある場合は、私の「長期」質問

答えて

0

私はトークンを使用します。

0

を答えず、あなたはBase64でエンコードするのuserNameで見ることができます。それは、それが有効な関心事であると仮定して、ランダムなuserNameを "推測"するのがずっと難しくなります。

+0

しかし、トークン(not tokenSecure)はすでに私が望むものではありませんか、それを使用するのは安全ではありませんか? userNameをbase64することは、ハッカーから比較的簡単に行うこともできます... – Karussell