【发布时间】:2012-03-06 07:00:50
【问题描述】:
我正在开发一个网站,该网站通过其 OAuth 接口连接到 Twitter。到目前为止,我在处理访问令牌等的安全性方面相当草率,是时候解决这个问题了。因此我的问题是——试图理解在这里做什么是正确的。 (Twitter 是我正在做的事情的真正关注点,但我确信处理 Facebook 和其他类似服务,无论是否 OAuthed,都会有类似的问题。)
纵观整个网站,我似乎正在处理至少以下具有安全隐患的事情:
- 我的数据库名称、用户名和密码
- 我的 Twitter 应用程序的使用者密钥和使用者密码
- 网站将用于与 Twitter 对话的用户的用户名、访问令牌和访问令牌密码
- 对于网站的每个用户,他们的 Twitter 访问令牌和访问令牌密码
那么——如何处理所有这些东西是正确的?根据人们可以想象的不同类型的攻击,我可以就我认为应该发生的事情提出建议,但如果我只是恳求完全无知(而不是我更有可能 90% 的无知?)并看看是否有任何东西在共识或最佳实践的方式。我会接受我的安全新手的火焰,但我会更感激失去我的新手身份的技术。非常感谢!
【问题讨论】:
-
确实有用;谢谢你的指点。然而,讨论有点令人沮丧,因为它似乎并没有真正得出关于应该做什么的结论。你有什么建议吗?例如,如果我对令牌进行加密,我可以将不会打开我试图堵塞的相同类型漏洞的加密密钥放在哪里?
-
这个应该被关闭,因为它是一个骗子。所有 cmets/answers 都应列在该问题下。这个网站就像一个关于编程问题的维基百科。每个问题只能问一次。
-
@JimMiller 我删除了我的答案,因为我不确定它是否直接应用于 OAuth,而且这个问题是重复的。
标签: security oauth-2.0 twitter-oauth facebook-oauth