मैंने अभी ओएथ में देखना शुरू कर दिया और यह वास्तव में अच्छा लग रहा है। मेरे पास अभी रुबी में oauth with twitter working है।ओएथ से सुरक्षित रूप से टोकन/गुप्त/आदि स्टोर करने का सही तरीका?
अब मैं सोच रहा हूं, मेरे स्थानीय डेटाबेस और सत्र में प्रतिक्रियाओं को संग्रहीत करने के लिए अनुशंसित सुरक्षित तरीका क्या है?
- मुझे क्या स्टोर करना चाहिए?
- मुझे इसे कहां स्टोर करना चाहिए?
यह उदाहरण twitter-oauth-with-rails एप्लिकेशन स्टोर सत्र में एक user.id
, और उपयोगकर्ता तालिका token
और secret
है। लेकिन ऐसा लगता है कि यह हैक करना वास्तव में आसान है और केवल परीक्षण उपयोगकर्ता आईडी में गुजरकर रहस्य प्राप्त कर सकता है, नहीं?
धन्यवाद, यह सहायक है। मैं बस ऐसा करने का सबसे अच्छा तरीका समझने की कोशिश कर रहा हूं क्योंकि कई लोगों ने सत्र में _any_ गोपनीय डेटा कभी स्टोर नहीं किया है। लेकिन ऐसा लगता है कि आईडी में डेटाबेस से उपयोगकर्ता मॉडल तक पहुंचने के लिए संभव हो सकता है, अगर यह सत्र में था, _if_ डेवलपर ने कुछ खुलासा किया। ऐसा कुछ। –
सत्र डेटा उपयोगकर्ता के लिए सुलभ नहीं है क्योंकि वे केवल सत्र आईडी को जानते हैं लेकिन सत्र में संग्रहीत नहीं है। किसी अन्य उपयोगकर्ता के लिए सत्र डेटा तक पहुंचने का एकमात्र तरीका सत्र अपहरण का उपयोग करना है, लेकिन यह सिर्फ एक छोटी संख्या को दूसरे के साथ नहीं बदल रहा है। यहां देखें: http://en.wikipedia.org/wiki/Session_hijacking –
यदि आप इसके बारे में सोचते हैं तो यह बताने का कोई और तरीका नहीं है कि सत्र किस उपयोगकर्ता से संबंधित है, क्योंकि आप केवल कुकीज़ का उपयोग कर सकते हैं और यही वह सत्र है जो अधिक सुरक्षित है लेकिन अधिक सुरक्षित है कुकी में उपयोगकर्ता आईडी को संग्रहीत करने की तुलना में। –