【问题标题】:oauth_token and oauth_token_secret in a jwtjwt 中的 oauth_token 和 oauth_token_secret
【发布时间】:2016-04-02 11:09:27
【问题描述】:

快速提问 - 使用 twitter 的 oauth,我得到了一个 oauth_token 和 oauth_token_secret 来验证用户。

我知道我可以将此加密存储在数据库中以便妥善保管,但是将它们简单地放入加密的 jwt (jwe) 中是不是一个坏主意?

谢谢

【问题讨论】:

    标签: twitter oauth jwt jwe


    【解决方案1】:

    秘密应该保密。

    您将使用令牌代表用户进行 api 调用。记住这一点,可以将令牌存储在 jwt 中(但可能不是最佳实践),但绝对不能存储秘密。

    可能更好的模式是将令牌和机密存储在用户的模型中,并通过将用户的 id 存储在 jwt 中来引用该用户。由于您将随每个请求一起发送 jwt,因此您可以解码 jwt、获取用户的 id 并查找用户的模型并从那里进行调用。

    【讨论】:

    • 那么我需要将秘密存储在数据库中吗?用户模型必须保存在某个地方吗?
    • 是的。当我说用户模型时,我指的是您的数据库用户模型。
    猜你喜欢
    • 2011-12-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-11-14
    • 1970-01-01
    • 2014-08-16
    • 1970-01-01
    • 2012-08-16
    相关资源
    最近更新 更多