Как хранить токены от АПИ ВКонтакте?

Question

[Акваланг]

Пользователи авторизуются у меня на сайте через ВК и там есть определенный набор разрешений для пользования функционалом сайта.

Я записываю эти токены в БД, там есть три поля:
user_id, secret, token

secret - это хэш, который генерируется при авторизации.

В куки записываю user_id и secret. При открытии сайта ищу их в БД, и если находим - берем токен для работы.

Достаточно ли данных я сохраняю в куки для безопасной работы и можно ли хранить токены в базе данных в обычном виде или надо как-то шифровать их?

Answer 1

[Алексей Котенко]

Это как минимум странно хранить user_id и secret от VK в кукисах своего сайта.
Возможно, стоит использовать стандартные механизмы авторизации, предусмотренные фреймворком, а данные хранить уже в бд и связывать с пользователем.
Шифровать ничего не нужно, по крайней мере токен - вам ещё отправлять запросы к Вк используя его.

Comments

[Акваланг]

secret я сам генерирую и записываю в куки. Мой secret + vk_id от ВК связывает юзера с базой данных. Я опасаюсь за SQL-инъекции, поэтому и спросил про шифрование.

Answer 2

[Дмитрий Дарт]

secret на сколько я помню меняется каждый раз при авторизации его нет смысла хранить
я храню user_id и token, но последний тоже может меняться иногда
что бы не было SQL-инъекций используйте PDO
шифровать не надо