Ruby 从OAuth安全存储令牌/秘密/等的正确方法？

我刚开始研究OAuth，它看起来真的很不错。我现在有红宝石

现在我想知道，在本地数据库和会话中存储响应的推荐安全方法是什么

• 我应该储存什么
• 我应该把它存放在哪里

---

此示例应用程序在会话中存储

user.id

，并且用户表具有

令牌

和

机密

。但这似乎很容易通过传入大量的测试用户id来破解和获取秘密，不是吗？

如果你正在开发一个web应用程序，你可以在用户提交的表单中添加一个

隐藏的
字段，并使用
user.id
计算一些类似散列的值，这样邪恶的家伙就无法更改该值，只需对于访问令牌的“猜测”
如果没有twitter应用程序的消费者密钥/密码，令牌是无用的，因为它们对于每个应用程序都不相同，但取决于消费者密钥/密码

要获得会话变量，您必须猜测会话id，这不是那么容易实现的

如果需要，您可以将这些令牌存储在会话中，但我建议将用户令牌与所有其他用户数据一起存储在数据库中，以便会话只包含用于识别系统中用户的数据

更新：我不确定我是否正确理解您通过猜测ID从数据库访问令牌的意思

您是否有任何身份验证，以便用户必须输入一些凭据才能访问其数据？您应该以与存储用户电子邮件地址或密码相同的方式存储令牌，并且只有经过身份验证的用户才能访问令牌。
谢谢，这很有帮助。我只是想真正掌握最好的方法，beca使用很多人都说过不要在会话中存储任何机密数据。但是如果用户模型在会话中，如果开发人员留下了一些公开的东西，那么似乎可以通过id从数据库中访问该用户模型。类似的事情。用户无法访问会话数据，因为他们只知道会话id，而不知道会话的内容它存储在会话中。为其他用户访问会话数据的唯一方法是使用会话劫持，但这不仅仅是用一个小数字替换另一个小数字。请参见此处：如果您仔细考虑，则没有其他方法可以告诉会话属于哪个用户，因为您只能使用cookie，这正是会话所做的，但比cookie更安全n只是将用户id存储在cookie中。但是长时间存储呢？例如，我不希望每次会话过期时用户都需要登录。我是否应该将令牌存储到cookie中，并使用此令牌从数据库获取用户+令牌？因为如果我将用户id或屏幕名存储在cookie中，这将非常容易黑客用错误的用户凭证进入你的系统，对吗？