Если я создаю приложение для аутентификации через Oauth, имеет ли смысл использовать куки для сессий?

Question

Это открытый вопрос, и мне было любопытно, что думают люди: имеет ли смысл, когда у вас есть приложение, которое использует Twitter Oauth для аутентификации, чтобы установить cookie «Помни меня»?Таким образом, он не должен был бы обращаться к службе Oauth и мог бы воссоздать сеанс, если бы он был в заданный период времени?

Надеюсь, это понятно.Любопытно, что вы думаете.

Answer 1

Это зависит только от того, сколько времени вы хотите подождать, прежде чем отправлять пользователей обратно через Вход через Twitter поток авторизации.Если у вас есть файлы cookie, которые сохраняются в течение длительного времени, они не будут повторять этот процесс так часто, но если кто-то украдет файлы cookie, у них будет доступ в течение более длительного периода времени.С другой стороны, если они выходят из Twitter и истекает срок действия файлов cookie, им необходимо пройти аутентификацию в Twitter.Это действительно зависит от того, какой тип безопасности и срок действия токена имеет смысл для вашего веб-приложения.

Answer 2

OAuth не имеет ничего общего с куки.Вы должны хранить свой токен доступа и использовать его до истечения срока его действия.Истечение срока действия маркера доступа - это процесс, управляемый сервером, и вы должны обработать случай, когда вам выдан HTTP Unauthorized, и вы получите новый токен доступа.

Наличие функции «запомнить меня» в вашем приложении - логика вашего приложения.Вы по-прежнему можете контролировать, хотите ли вы каждый раз показывать пользователю экран авторизации Twitter или нет.Просто имейте в виду, что если ваш тайм-аут истечения больше, чем срок жизни токена доступа твиттера, то вам придется заставить конечного пользователя снова проходить аутентификацию.

Answer 3

Это не должно иметь значения.Когда приложение использует OAuth, оно возвращает токен, который оно должно хранить с информацией о вашей учетной записи.Затем, когда вы вернетесь, он может найти токен и использовать его для доступа к вашей учетной записи Twitter.

Если у вас нет файла cookie, вы можете просто войти в приложение, и оно будетхраните свой токенЕсли вы это сделаете, то вы можете пропустить этот шаг входа в систему.Ни в том, ни в другом случае вам не придется снова заходить в Twitter (до истечения срока действия токена).