我們計劃實施OAuth2規範並正在審查「訪問令牌」實施。 貌似規範給出了一個很大的自由去實現者,我們正在尋找 的一些最佳做法:設計(OAuth2)訪問令牌
- 要放什麼東西在訪問令牌?我們希望在尺寸和實用性之間取得良好的平衡。 我意識到這是非常特定的應用程序,但也許有一些事情值得擁有。
到目前爲止,我們確定了以下字段:
- 用戶識別
- 截止日期
- 版本(這樣我們就可以改變未來的格式)
- 客戶標識符(即應用程序誰請求令牌)
一些額外的屬性(例如。密碼散列)將被存儲在數據庫中,並在 認證期間(使用令牌中的字段作爲「密鑰」)進行查找。
- 如何保護它?
我們傾向於安全地簽署訪問令牌(HMAC),以便我們知道它是否被篡改。 令牌中的字段隨後可供所有人閱讀。
另一種方法是加密(AES)整個事情,並使其對用戶完全不透明。這使得 它更大(以字節計)。它看起來像FB現在使用加密令牌(http://developers.facebook.com/blog/post/572/)
有關行業最佳實踐的任何建議?
感謝, 彼得