¿Forma correcta de almacenar de forma segura el token/secreto/etc. de OAuth?

Question

Acabo de empezar a buscar en OAuth y se ve muy bien. Tengo oauth with twitter working en ruby ​​en este momento.

Ahora me pregunto, ¿cuál es la forma segura recomendada de almacenar las respuestas en mi base de datos local y sesión?

• ¿Qué lugar debo almacenar?
• ¿Dónde debería guardarlo?

Este ejemplo twitter-oauth-with-rails tiendas de aplicaciones un user.id en la sesión, y la tabla de usuario tiene la token y secret. Pero parece que sería realmente fácil hackear y obtener el secreto al solo pasar una serie de identificaciones de usuario de prueba, ¿no?

Answer 1

Si está desarrollando una aplicación web, puede agregar un campo hidden a la forma que el usuario envía, con un valor tipo hash calculado con el user.id para que los tipos malvados no puedan cambiar ese valor y simplemente "adivinar" un acceso token

Answer 2

Los tokens son inútiles sin la clave de consumidor/secreto de su aplicación de Twitter ya que no son los mismos para cada aplicación, pero dependen de la clave/secreto del consumidor.

Para obtener una variable de sesión, tendría que adivinar la identificación de la sesión, que no es tan fácil de lograr.

Si lo desea, puede almacenar esos tokens en la sesión, pero le sugiero que almacene los tokens de usuario en su base de datos con todos los demás datos del usuario para que su sesión contenga solo los datos para identificar al usuario en su sistema.

Actualización: No estoy seguro de entender correctamente lo que quiere decir al acceder a los tokens de la base de datos adivinando una identificación.

¿Tiene alguna autenticación establecida para que los usuarios tengan que ingresar algunas credenciales para acceder a sus datos? Debe almacenar los tokens de la misma manera que almacena la dirección de correo electrónico o la contraseña de los usuarios, y solo los usuarios autenticados deberían poder acceder a ellos.