Question

Я играю с добавлением аутентификации пользователя на моем сайте, используя OAuth.Я использую Twitter в качестве веб-сайта для аутентификации.

Когда я принимаю приложение на сайте Twitter, я отлично возвращаюсь на свой сайт.Тогда мне нужно что-то сделать с Tokens, которые возвращаются.Глядя на некоторый демонстрационный код, код хранит response.Token и response.TokenSecret в памяти (что НЕ рекомендуется).Рекомендуется хранить их в базе данных или в каком-либо постоянном хранилище.

Почему?

Для чего они используются?

Они вообще связаны с какими-либо пользователями?Я не понимаю отношения с рабочим процессом, а также с пользователями.

спасибо:)

Charles Short · Answer 1 · 15 сентября 2011

Если вашему приложению требуется доступ к защищенным ресурсам Twitter пользователя, оно должно будет использовать информацию пользователя (токен доступа и секрет токена) вместе с информацией вашего приложения (ключ потребителя и секрет клиента).постоянное пространство для хранения, и вы поделитесь этим и своим потребительским секретом со всем миром, тогда злонамеренный хакер сможет спамить аккаунт вашего пользователя.

Jesvin Jose · Answer 2 · 15 сентября 2011

Безопасная система должна обещать вам

конфиденциальность - никто не читает ваше сообщение в пути
целостность - никто не саботирует ваше сообщение при передаче без вашего обнаружения
аутентификация - отправитель сообщения не является самозванцем

http://en.wikipedia.org/wiki/Security_testing

- отказ от ответственности: я не знаю деталей, это не является полномочным -

Протокол SSL / TLS, по которому вы отправляете свои сообщения (включая сообщения протокола OAuth), помогает с 1 и 2 и проверкой подлинности поставщика услуг (сертификаты).Пара токенов и секретных токенов помогает аутентифицировать вас с помощью криптографии с открытым ключом.Секрет токена гарантирует, что только пользовательское приложение сможет декодировать сообщение.

Если есть функция verify (token, tok_secret) tok_secret никогда не отправляется, используется только для декодирования / проверки ответа на стороне клиента.

http://computer.howstuffworks.com/encryption3.htm

http://en.wikipedia.org/wiki/Public-key_cryptography

Может кто-нибудь объяснить, для чего используются OAuth Response Token / TokenSecret?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Может кто-нибудь объяснить, для чего используются OAuth Response Token / TokenSecret?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы