Они не очень большие (может быть 15 или 20 символов, точно не помню) и являются строками. Примечание: это может измениться. Ничто в спецификации OAuth не описывает, как генерировать токены и секреты, и как они выглядят. Я ожидаю, что они всегда будут строками, но я мог бы сделать столбец немного больше, чем необходимо в настоящее время для непредвиденных обстоятельств
Если вы храните их в базе данных, вам понадобится другой способ аутентификации пользователей, чтобы вы знали, чьи токены нужно извлечь и использовать, чтобы их нельзя было использовать злонамеренно. Если у вас уже есть это, и оно работает, тогда это имеет смысл, в противном случае вы можете переосмыслить это.
Еще один способ сделать это - сохранить свои токены в cookie-файле, недостатки которого заключаются в том, что (если вы не шифруете их или не используете SSL), они перемещаются по сети в открытом виде, и если они меняют компьютеры , браузеры или удалить их куки, вы должны заставить их снова пройти весь процесс OAuth.
Для веб-сайта без другой аутентификации я бы зашифровал их и сохранил в cookie. Если вы уже заставили их войти в систему, сопоставьте токен и секретный ключ с именем входа и сохраните их в базе данных.
Есть и другие способы. Вы можете использовать случайно сгенерированный идентификатор, такой как GUID / UUID в cookie, чтобы указать на запись в базе данных с токенами, если вы не хотите использовать шифрование. В общем, все зависит от того, как ваше приложение будет вести себя с точки зрения пользователей.
Убедитесь, что вы обрабатываете случай, когда пользователь отменяет авторизацию и вашего приложения.