Как хранить токены от АПИ ВКонтакте?

Пользователи авторизуются у меня на сайте через ВК и там есть определенный набор разрешений для пользования функционалом сайта.

Я записываю эти токены в БД, там есть три поля:
user_id, secret, token

secret - это хэш, который генерируется при авторизации.

В куки записываю user_id и secret. При открытии сайта ищу их в БД, и если находим - берем токен для работы.

Достаточно ли данных я сохраняю в куки для безопасной работы и можно ли хранить токены в базе данных в обычном виде или надо как-то шифровать их?
  • Вопрос задан
  • 968 просмотров
Пригласить эксперта
Ответы на вопрос 2
k0t3n
@k0t3n
Python, InfoSec, IT
Это как минимум странно хранить user_id и secret от VK в кукисах своего сайта.
Возможно, стоит использовать стандартные механизмы авторизации, предусмотренные фреймворком, а данные хранить уже в бд и связывать с пользователем.
Шифровать ничего не нужно, по крайней мере токен - вам ещё отправлять запросы к Вк используя его.
Ответ написан
gobananas
@gobananas
finishhim.ru
secret на сколько я помню меняется каждый раз при авторизации его нет смысла хранить
я храню user_id и token, но последний тоже может меняться иногда
что бы не было SQL-инъекций используйте PDO
шифровать не надо
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы