cookies twitter oauth

cookies - ¿Qué hacer con el token de twitter oauth una vez recuperado?



twitter token (2)

Estoy escribiendo una aplicación web que utilizará Twitter como su método principal de inicio de sesión. He escrito un código que recupera el touth oauth de Twitter. Mi plan es ahora

  1. Encuentre la entrada en mi tabla de Usuarios para el nombre de usuario de Twitter recuperado usando el token, o cree la entrada si es necesario
  2. Actualice la columna Users.TwitterOAuthToken con el nuevo token OAuth
  3. Cree una cookie permanente con una guía aleatoria en el sitio e inserte un registro en mi tabla de UserCookies que coincida con la cookie para el usuario
  4. cuando llegue una solicitud, buscaré el ID de la cookie del navegador en la tabla de UserCookies, luego usaré eso para descubrir al usuario y hacer solicitudes de Twitter en su nombre.
  5. Escriba el token outh en algunas páginas como una variable js para que javascript pueda realizar solicitudes en nombre del usuario
  6. Si el usuario borra sus cookies, deberá iniciar sesión nuevamente en Twitter.

¿Es este el proceso correcto? ¿He creado algún agujero de seguridad masiva?

¿No podría simplemente guardar el oauth_token como cookies en lugar del GUID y hacer una búsqueda basada en el usuario en el oauth_token o es una mala práctica?

Suena bien.

Sin embargo, sugiero no usar el nombre de usuario de Twitter como índice principal para la tabla de usuarios. Como nombres de usuario de Twitter se pueden cambiar. Aprendí esto de la manera difícil.

Debería estar bien usando el ID de usuario de Twitter (big int) como el índice principal, ya que no cambia si el usuario cambia su nombre de usuario.

En cuanto al token en sí, está de acuerdo con almacenarlo para uso futuro. De hecho, se le anima a hacerlo.