我正在考虑将twitter登录到我的网站.我正在使用一个处理所有事情的图书馆.然而在第一步:获取请求令牌,Twitter的强烈建议是you use HTTPS for all OAuth authorization steps.
还有一个问题,Twitter发回给你的oauth_token是否会改变每个请求?当twitter发送一个访问令牌数组时,它的值会在用户下次登录时更改 - 我问这个因为我想将它们保存在数据库中.
我看到很多网站没有使用HTTPS.回到我的问题,没有https使用oauth是否安全?
我会说不,使用常规http for OAuth是不安全的.对不使用https的登录进行中间攻击是相对简单的.最近有很多人抱怨他们的Twitter和facebook账号被这种方法攻击.许多人,比如我自己,现在使用浏览器插件强制网站twitter和facebook自动加入https.对于使用无线互联网的人来说,这种攻击特别普遍.特别是在咖啡馆,酒店或机场等共享无线网络.
| 归档时间: |
|
| 查看次数: |
1349 次 |
| 最近记录: |