Twitter: Как хранить oAuth для долгосрочного использования

Question

Я разрабатываю веб-приложение java, где я в настоящее время храню токен oAuth + tokenSecret в сеансе (на стороне сервера) после успешного входа в систему. Теперь я хотел бы, чтобы пользователю не нужно входить в систему при каждом завершении сеанса.

Если бы я только сохранил имя пользователя из твиттера, кто-то мог бы легко изменить это имя пользователя в своем файле cookie и получить доступ к любой учетной записи Twitter, доступной на моем веб-сервере?

Так это сохранить, чтобы сохранить токен oAuth в файл cookie и по запросу получить tokenSecure и т. Д. Из базы данных? Нужно ли мне шифровать этот токен или есть лучший/более безопасный способ?

PS: Here вопрос задавать такие же, но без ответа на мой «долгосрочный» вопрос

Answer 1

Я буду использовать токен. Пожалуйста, пингуйте меня, если это небезопасно :-)

Answer 2

Если вы обеспокоены имя_пользователь быть в куках, вы можете посмотреть на Base64-кодирующее имя пользователя. Это сделало бы намного сложнее «догадаться» случайное имя пользователя, считая, что это является серьезной проблемой.