Я занимаюсь разработкой веб-приложения на Java, в котором в настоящее время я храню токен oAuth + tokenSecret в сеансе (на стороне сервера) после успешного входа пользователя. Теперь я хотел бы, чтобы пользователю не приходилось каждый раз входить в систему.сеанс истекает.
Если бы я только сохранял имя пользователя из твиттера, кто-то мог бы легко изменить это имя пользователя в своем cookie-файле и получить доступ к любой учетной записи твиттера, доступной в моем веб-приложении, верно?
Так что же это сохранить?сохранить токен oAuth в файле cookie и получить его по запросу из базы данных?Нужно ли мне шифровать этот токен или есть лучший / более безопасный способ?
PS: Здесь - это вопрос, задающий то же самое, но без ответа на мой «долгосрочный» вопрос