1
從我讀過的任何地方,我留下的印象是將開發源代碼中的消費者密鑰存儲起來是一個壞主意。所以,我在另一個web服務器上設置了一個外部代理來處理請求和訪問令牌。在Wordpress Plugin中使用OAuth
因此,一旦我從提供程序接收到訪問令牌和密鑰,我應該將這些令牌保存在外部網絡服務器上,並且每次請求都輪詢Web服務器?或者,我是否應該將這些令牌返回給用戶的Wordpress安裝,插件將其保存到用戶的數據庫中?
謝謝!
A
回答
1
將它們保存到用戶的wordpress安裝中,無論如何都需要在代理/中繼端點上具有某種標識符,以標識具有您保存在您終端上的訪問令牌的插件。
如果訪問令牌應該從用戶的wordpress泄漏出來,它仍然是不可用的,如果沒有消費者密鑰,無論如何您都會保持安全。然而,存在泄漏的訪問令牌被用於通過您的中繼端點進行認證請求的風險。但是你會遇到與另一種識別機制相同的情況。
如果你真的想玩它安全,你可以在wordpress安裝和你的中繼服務之間實現一個簡單的密碼層。例如說一個訪問令牌參數的SHA1哈希值,URL,一個時間戳,以及另一個安裝特定的祕密鹽。這至少會阻止丟失的訪問令牌直接與您的中繼端點一起使用。然後,我可以看到的唯一攻擊矢量是wordpress DB本身受到損害。
相關問題
- 1. 在wordpress中使用oauth
- 2. 在Windows中使用SVN(Wordpress plugin-repository)?
- 3. authlogic和oauth-plugin
- 4. 使用oauth-plugin(pelle)實現oauth提供程序時出錯
- 5. 使用oauth-plugin gem在rspec測試中測試OAuth2請求
- 6. 如何從wordpress使用oauth
- 7. Translate Wordpress Plugin
- 8. Wordpress SEO Plugin isue
- 9. Wordpress Form Builder Plugin
- 10. Wordpress Plugin Active Function
- 11. Ruby Oauth-plugin授權不起作用
- 12. Wordpress plugin web表格
- 13. Wordpress Plugin的前端
- 14. Timber plugin with term(WordPress)
- 15. Jquery slider into wordpress or plugin
- 16. 在CakePHP3中使用OAuth 2
- 17. 在Java中使用OAuth
- 18. 在node-webkit中使用oauth
- 19. Wordpress Plugin在內容之前附加div
- 20. 如何使用plugin,add_filter在wordpress中刪除或更改<title>標籤?
- 21. oAuth,使用WordPress本地方法獲取Facebook使用的數據?
- 22. 在m2e中使用maven-clean-plugin
- 23. 如何在maven-release-plugin中使用CVS?
- 24. 無法在Hudson中使用Performance Plugin
- 25. 如何在maven-jaxb-plugin中使用xmlAdapter
- 26. 在Spring Security Plugin中使用Java Domain Objects
- 27. 在Webpack中使用less-plugin-glob
- 28. 在Eclipse中使用maven-release-plugin
- 29. 在Spring中使用Struts2-Rest-Plugin
- 30. 如何在Jenkins中使用Job Import Plugin?