Я разрабатываю веб-приложение java, в котором в настоящее время я сохраняю токен oAuth + tokenSecret в сеансе (на стороне сервера) после того, как пользователь успешно входит в систему. Теперь я бы хотел, чтобы пользователю не нужно было входить в систему каждый раз по истечении сеанса.
Если бы я сохранял только имя пользователя из твиттера, кто-то мог бы легко изменить это имя пользователя в своем файле cookie и получить доступ к любой учетной записи Twitter, доступной в моем веб-приложении, верно?
Так можно ли сохранить токен oAuth в cookie и по запросу получить tokenSecure и т. Д. Из базы данных? Нужно ли мне зашифровать этот токен или есть лучший / более безопасный способ?
PS: Здесь вопрос, задающий то же самое, но без ответа на мой "долгосрочный" вопрос