Quanto è importante per mantenere l'accesso di OAuth token segreto?
Domanda
Una volta che ricevo il token di accesso per un sito (ad esempio Facebook) utilizzando OAuth, quanto è importante mantenere questo segreto? tutto può succedere dannoso se qualcuno ha ottenuto una sospensione di uno?
Mi chiedevo se sarebbe una cattiva idea per salvare il token in un cookie o una sessione.
Soluzione
Aggiornamento: se si stanno avendo l'utente di connessione con l'SDK javascript, l'ID utente e dei token di accesso sono già essere memorizzate nel cookie per il sito. Controllare i cookie HTTP vengono inviati. Se non lo sono, controllare il FB.Init documentazione, come FB. init ha un cookie booleano parametro è possibile impostare in modo che possa creare un cookie per voi chiamato fbs_ {} APPID. Questo parla post su quel cookie.
Altri suggerimenti
Sì, il token di accesso è equivalente a username / password. La maggior parte delle implementazioni scadranno il token di accesso dopo un tempo, ma mentre è ancora valida deve essere tenuto segreto.