【发布时间】:2016-04-02 11:09:27
【问题描述】:
快速提问 - 使用 twitter 的 oauth,我得到了一个 oauth_token 和 oauth_token_secret 来验证用户。
我知道我可以将此加密存储在数据库中以便妥善保管,但是将它们简单地放入加密的 jwt (jwe) 中是不是一个坏主意?
谢谢
【问题讨论】:
快速提问 - 使用 twitter 的 oauth,我得到了一个 oauth_token 和 oauth_token_secret 来验证用户。
我知道我可以将此加密存储在数据库中以便妥善保管,但是将它们简单地放入加密的 jwt (jwe) 中是不是一个坏主意?
谢谢
【问题讨论】:
秘密应该保密。
您将使用令牌代表用户进行 api 调用。记住这一点,可以将令牌存储在 jwt 中(但可能不是最佳实践),但绝对不能存储秘密。
可能更好的模式是将令牌和机密存储在用户的模型中,并通过将用户的 id 存储在 jwt 中来引用该用户。由于您将随每个请求一起发送 jwt,因此您可以解码 jwt、获取用户的 id 并查找用户的模型并从那里进行调用。
【讨论】: