Dopo il processo di oauth su Twitter, una volta che ho finalmente ottenuto il mio access_token_key e access_token_secret è sicuro memorizzarli in un lato client variabile javascript?
Per quanto posso capire, non si può fare nulla con queste chiavi senza consumer_key / consumer_secret?
Sostanzialmente per evitare di archiviare qualcosa nella sessione se ho bisogno di fare un'altra chiamata API.
Come per tutte le considerazioni sulla sicurezza, è utile essere chiari su chi si sta difendendo e contro chi si sta difendendo. I tuoi clienti sono abbastanza al sicuro in questo ambiente, anche se forse potrebbero pasticciare un po 'con te. Qualcuno potrebbe scrivere un altro client Twitter e quel client potrebbe fingere di essere il tuo cliente. Se si comporta male e Twitter lo vieta, potresti essere bannato come garanzia. Ciò presuppone che le chiamate all'API di Twitter vengano rese lato client, pertanto il client deve disporre di informazioni sufficienti per agire a tuo nome (dalla prospettiva Twitters). Se fai tutte le chiamate API sul lato server e non condividi i tuoi codici di accesso, nessuno può modificare il tuo cliente o impersonarlo.
Se ti fa sentire meglio la maggior parte dei client Twitter ha questo problema ...
Leggi altre domande sui tag oauth