【发布时间】:2012-05-05 03:06:56
【问题描述】:
从我读过的所有地方,我都觉得将消费者密钥存储在开源代码中是个坏主意。所以,我在另一个网络服务器上设置了一个外部代理来处理请求和访问令牌。
那么,一旦我从提供商处收到访问令牌和密码,我是否应该将这些令牌保存在外部网络服务器上,并在每个请求中轮询网络服务器?或者,我应该将这些令牌返回到用户的 Wordpress 安装中,插件将它们保存到用户的数据库中吗?
谢谢!
【问题讨论】:
标签: oauth
【发布时间】:2012-05-05 03:06:56
【问题描述】:
将它们保存到用户的 wordpress 安装中,无论如何您都需要在您的代理/中继端点上有某种标识符,以识别带有您保存的访问令牌的插件。
如果访问令牌应该从用户的 wordpress 中泄漏,那么如果没有您始终保持安全的消费者密钥,它仍然无法使用。但是,存在泄露的访问令牌被用于通过中继端点发出经过身份验证的请求的风险。但是如果使用另一种识别机制,您也会遇到同样的情况。
如果您真的想安全起见,您可以在 wordpress 安装和中继服务之间实现一个简单的加密层。例如,访问令牌参数的 SHA1 哈希、URL、时间戳和另一个特定于安装的秘密作为盐。这至少会阻止丢失的访问令牌直接用于您的中继端点。那么我能看到的唯一攻击向量是 wordpress 数据库本身受到了破坏。
【讨论】: