ओएथ का उपयोग करके साइट (फेसबुक कहें) के लिए मुझे अपना एक्सेस टोकन प्राप्त हो जाने के बाद, यह रहस्य रखना कितना महत्वपूर्ण है? क्या किसी को दुर्भावनापूर्ण हो सकता है अगर किसी को पकड़ लिया जाए?ओएथ के पहुंच टोकन को गुप्त रखना कितना महत्वपूर्ण है?
मैं सोच रहा था कि कुकी या सत्र में टोकन को सहेजना बुरा विचार होगा या नहीं।
शायद आप कुकी में स्टोर नहीं करना चाहते हैं, लेकिन एक सत्र ठीक है। विचार यह है कि कुकीज़ को "उपयोगकर्ता इनपुट" माना जाता है और अविश्वसनीय (जब तक हस्ताक्षरित कुकीज़ का उपयोग नहीं किया जाता), जिसका अर्थ है कि तकनीकी रूप से यह सत्यापित करने के लिए तकनीकी उपयोगकर्ता को आपके उपयोगकर्ता डेटाबेस से पूछना होगा कि एक्सेस टोकन इसका उपयोग करने से पहले मान्य है। यह पहले से ही अधिकांश वेब ढांचे में सत्र स्तर पर सत्र आईडी के लिए किया जाता है। –
वैधता के अलावा मैं सुरक्षा के बारे में अधिक चिंतित हूं। तो मैंने फेसबुक से प्राप्त एक्सेस_टोकन लिया और एक अलग कंप्यूटर पर कर्ल चला गया- एफ 'access_token = 162032318056 | 2.0r19NN8CJ3qiz2e0dA_G6w __। 3600.1288576800-6423201 | q7GD-dWTEvWoqEZjZ77Ga_ddhwA' -F 'message = test' https://graph.facebook.com/मुझे/फ़ीड इस कमांड ने मेरी दीवार पर टेस्ट पोस्ट किया। तो मैं किसी दुर्भावनापूर्ण उपयोगकर्ता को किसी कुकीज़ से पढ़ने में सक्षम होने के बारे में चिंतित हूं, किसी साइट से प्राप्त पहुंच टोकन को पकड़ता हूं, और उसके बाद किसी अन्य फेसबुक खाते पर विशेषाधिकार प्राप्त आदेश चलाने में सक्षम होता हूं। इस परीक्षण से ऐसा लगता है कि यह संभव है –
ब्रैड, क्या आपको कोई समाधान पता चला? सत्र या कुकी के अलावा, यह कहां स्टोर करेगा? प्रत्येक बार जब उपयोगकर्ता लॉग इन करता है और उसे पूछताछ करता है तो उसे डीबी में सहेजना सबसे अच्छा लगता है ... – Alexandra