在Wordpress插件中使用OAuth

从我读过的每一篇文章中，我都有这样一种印象：在开源代码中存储用户密钥是个坏主意。因此，我在另一个Web服务器上设置了一个外部代理来处理请求和访问令牌

因此，一旦我从提供者那里收到访问令牌和密码，我是否应该将这些令牌保存在外部Web服务器上，并在每次请求时轮询Web服务器？或者，我应该将这些令牌返回到用户的Wordpress安装，插件将它们保存到用户的数据库中吗

---

谢谢

将它们保存到用户的wordpress安装中，无论如何，您都需要在代理/中继端点上具有某种标识符，以识别带有您在终端上保存的访问令牌的插件

如果访问令牌应该从用户的wordpress中泄漏，那么如果没有用户密钥，它仍然不可用，因为您始终保持安全。但是，存在使用泄漏的访问令牌通过中继端点发出经过身份验证的请求的风险。但是，如果使用另一种识别机制，情况也会相同

---

如果您真的想安全起见，可以在wordpress安装和中继服务之间实现一个简单的加密层。例如，假设访问令牌参数的SHA1散列、URL、时间戳，以及另一个特定于安装的机密，如salt。这至少会阻止丢失的访问令牌直接用于中继端点。然后，我能看到的唯一的攻击向量是WordPress数据库本身被破坏了。

< P>将其保存到用户的WordPress安装中，你需要在你的代理/中继端点上有某种标识符来识别你在你的终端上保存了一个访问令牌的插件。 如果访问令牌应该从用户的wordpress中泄漏，那么如果没有用户密钥，它仍然不可用，因为您始终保持安全。但是，存在使用泄漏的访问令牌通过中继端点发出经过身份验证的请求的风险。但是，如果使用另一种识别机制，情况也会相同

如果您真的想安全起见，可以在wordpress安装和中继服务之间实现一个简单的加密层。例如，假设访问令牌参数的SHA1散列、URL、时间戳，以及另一个特定于安装的机密，如salt。这至少会阻止丢失的访问令牌直接用于中继端点。然后，我能看到的唯一攻击向量是WordPress数据库本身被破坏。