Я пишу веб-приложение, которое будет использовать Твиттер в качестве его основного метода входа в систему. Я написал код, который возвращает маркер OAuth с Твиттера. Мой план теперь к
Действительно ли это - корректный процесс? Я создал какие-либо крупные дыры в системе безопасности?
Звучит хорошо.
Однако я предлагаю не использовать имя пользователя Twitter в качестве основного индекса для таблицы User. Поскольку имена пользователей Twitter могут быть изменены . Я усвоил это на собственном горьком опыте.
У вас должно получиться использовать идентификатор пользователя Twitter (большое целое число) в качестве первичного индекса, поскольку он не меняется, если пользователь меняет свое имя пользователя.
Что касается самого токена, вы можете хранить его для будущего использования. Фактически, вам рекомендуется это сделать.
Не могли бы вы просто сохранить oauth_token как файлы cookie вместо GUID и выполнить поиск на основе пользователя по oauth_token, или это так плохо практика?