Что делать с твиттером oauth-токеном после извлечения?

Question

Я пишу веб-приложение, которое будет использовать Twitter в качестве основного метода входа в систему. Я написал код, который возвращает токен Oauth из Twitter. Мой план сейчас на

1. Найдите запись в таблице «Мои пользователи» для имени пользователя Twitter, полученного с помощью токена, или создайте запись, если необходимо.
2. Обновите столбец Users.TwitterOAuthToken новым токеном OAuth
3. Создайте постоянный файл cookie со случайным указателем на сайте и вставьте в мою таблицу UserCookies запись, соответствующую Cookie для пользователя
4. при поступлении запроса я буду искать идентификатор cookie браузера в таблице UserCookies, затем использовать его, чтобы выяснить пользователя, и отправлять в Twitter запросы от его имени
5. Записать oauth-токен на некоторые страницы в виде переменной js, чтобы javascript мог делать запросы от имени пользователя
6. Если пользователь удаляет свои куки, ему придется снова войти в систему в твиттере

Это правильный процесс? Я создал какие-нибудь огромные дыры в безопасности?

Answer 1

Звучит хорошо.

Однако я предлагаю не использовать имя пользователя Twitter в качестве основного индекса для таблицы User. Поскольку имена пользователей Twitter могут быть изменены . Я научился этому нелегко.

Вам следует использовать идентификатор пользователя Twitter (big int) в качестве основного индекса, поскольку он не изменяется, если пользователь меняет свое имя пользователя.

Что касается токена, то вы можете хранить его для будущего использования. На самом деле, вам рекомендуется это сделать.

Answer 2

Не могли бы вы просто сохранить oauth_token как файлы cookie вместо GUID и выполнить пользовательский поиск по oauth_token или это плохая практика?