Я работаю над сайтом, который, помимо прочего, подключается к Twitter через интерфейс OAuth.До сих пор я довольно небрежно относился к защите моих токенов доступа и тому подобного, и пришло время это исправить.Таким образом, мой вопрос - пытаться понять, что правильно делать здесь.(Твиттер действительно беспокоится о том, что я делаю, но я уверен, что работа с Facebook и другими подобными службами, OAuthed или нет, будет иметь аналогичные проблемы.)
Если посмотреть на сайт в целом, токажется, что я имею дело, по крайней мере, со следующими вещами, которые имеют значение для безопасности:
- Имя моей базы данных, имя пользователя и пароль
- Ключ потребителя и секрет потребителя для моего приложения Twitter
- Имя пользователя, токен доступа и секрет токена доступа для пользователя, который будет использоваться сайтом для общения с Twitter
- Для каждого пользователя сайта, его токен доступа к Твиттеру и секрет токена доступа
Итак, что же делать со всеми этими вещами?Я мог бы предложить предположения о том, что, по моему мнению, должно произойти, основываясь на различных видах атак, которые можно себе представить, но, вероятно, было бы лучше, если бы я просто сослался на полное невежество (а не мое более вероятное 90% невежество?) И посмотрел, есть ли что-нибудь вспособ достижения консенсуса или передовой практики.Я приму пламя для моего новичка в сфере безопасности, но методы потери моего статуса новичка были бы более ценными.Большое спасибо!