Estoy escribiendo una aplicación web que utilizará Twitter como su principal método de inicio de sesión. He escrito un código que devuelve el token oauth de Twitter. Mi plan ahora es¿Qué hacer con Twitter oauth token una vez recuperado?
- Busque la entrada en la tabla de mi Usuarios para el nombre de usuario de Twitter recuperado utilizando el token, o crear la entrada si
- actualización de la columna de la Users.TwitterOAuthToken necesaria con el nuevo token de OAuth
- Crear una cookie permanente con un guid al azar en el sitio e insertar un registro en mi tabla UserCookies que coincida con la cookie del usuario
- cuando entre una solicitud Buscaré la identificación de la cookie del navegador en la tabla UserCookies, luego la usaré para descubrir el usuario y hacer solicitudes de Twitter en su nombre
- Escribe el token OAuth en algunas páginas como una variable js para que JavaScript puede hacer peticiones en nombre del usuario
- Si el usuario borra su/sus galletas el usuario tendrá que conectarse de nuevo a twitter
¿Es este el proceso correcto? ¿He creado agujeros de seguridad masivos?
Gracias, han ido con la identificación. ¿Es seguro enviar el token oauth al cliente para realizar solicitudes? – mcintyre321
sí, porque el token está vinculado a su aplicación. – Jayrox
No importaría si alguien olfatea los datos que envié y luego realizó las solicitudes con ese token de autenticación. ¿O estoy siendo demasiado paranoico? – mcintyre321