Twitter: Comment stocker oAuth pour une utilisation à long terme

Question

Je développe une application web java où je stocke actuellement le jeton oAuth + tokenSecret dans la session (côté serveur) après que l'utilisateur se connecte avec succès. Maintenant, je voudrais que l'utilisateur n'a pas besoin de se connecter chaque fois que la session expire.

Si je ne stockais que le nom d'utilisateur de Twitter quelqu'un pourrait facilement changer ce nom d'utilisateur dans leur cookie et avoir accès à n'importe quel compte Twitter disponible sur ma webapp droite?

Alors, est-ce que enregistrer le jeton oAuth dans un cookie et obtenir sur demande le tokenSecure etc de la base de données? Ai-je besoin de crypter ce jeton ou existe-t-il un moyen meilleur/plus sûr?

PS: Here est une question demandant la même chose, mais sans répondre à ma question « à long terme »

Answer 1

Je vais utiliser le jeton. S'il vous plaît ping sur moi si ce n'est pas sûr :-)

Answer 2

Si vous êtes préoccupé par le userName être dans le cookie, vous pouvez regarder base64 codant pour la userName. Cela rendrait beaucoup plus difficile de "deviner" un UserName aléatoire, en supposant que cela soit une préoccupation valide.