Je développe une application web java où je stocke actuellement le jeton oAuth + tokenSecret dans la session (côté serveur) après que l'utilisateur se connecte avec succès. Maintenant, je voudrais que l'utilisateur n'a pas besoin de se connecter chaque fois que la session expire.Twitter: Comment stocker oAuth pour une utilisation à long terme
Si je ne stockais que le nom d'utilisateur de Twitter quelqu'un pourrait facilement changer ce nom d'utilisateur dans leur cookie et avoir accès à n'importe quel compte Twitter disponible sur ma webapp droite?
Alors, est-ce que enregistrer le jeton oAuth dans un cookie et obtenir sur demande le tokenSecure etc de la base de données? Ai-je besoin de crypter ce jeton ou existe-t-il un moyen meilleur/plus sûr?
PS: Here est une question demandant la même chose, mais sans répondre à ma question « à long terme »
Mais le jeton (pas tokenSecure) n'est-il pas déjà ce que je veux ou est-ce que ce n'est pas sûr? base64ing le nom d'utilisateur peut également être fait relativement facile à partir d'un hacker ... – Karussell