我正在编写一个使用twitter作为主要登录方法的网络应用程序。我已经编写了从Twitter获取oauth令牌的代码。我现在的计划是
>在我的Users表中查找使用令牌检索的twitter用户名的条目,如有必要,创建条目
>使用新的OAuth令牌更新Users.TwitterOAuthToken列
>在站点上创建一个带有随机guid的永久cookie,并将记录插入到我的UserCookies表中,该表与Cookie匹配
>当请求进来时,我将在UserCookies表中查找浏览器cookie id,然后使用它来找出用户,并代表他们发出Twitter请求
>将oauth标记写入一些页面作为js变量,以便javascript可以代表用户进行请求
>如果用户清除他/她的cookies,用户将不得不再次登录到twitter
这是正确的过程吗?我有没有创建任何庞大的安全漏洞?
